مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) با انتشار اطلاعیهای نسبت به گسترش یک بدافزار استخراجکننده ارز دیجیتال در سطح کشور هشدار داده است.
به گزارش شرکت مهندسی شبکه گستر به نقل از مرکز ماهر، بررسیهای فنی نشان میدهد که از نیمه دوم فروردین ماه، این بدافزار استخراجکننده ارز دیجیتال در سطح شبکه اینترنت در کشور شیوع یافته است. این بدافزار مجهز به اکسپلویتهای منتشر شده توسط یک گروه هکری مستقل است. سیستمهای آلوده شده توسط این بدافزار به یک دربپشتی برای مهاجم تبدیل میشوند و مهاجم میتواند آنها را با استفاده از بدافزارهای مختلف آلوده کرده و یا از آنها در انواع حملات رایانهای استفاده کند. همچنین بدافزار به صورت خودکار یک کاربر جدید به نام mm123$ در سیستم ایجاد میکند. هدف اصلی بدافزار استفاده از منابع سیستمهای آلوده شده برای استخراج پول دیجیتال است. برای جلوگیری از آلوده شدن سازمانها به این بدافزار، پیشنهاد میگردد راهبران شبکه اقدامات زیر را انجام دهند:
- منع دسترسی رایانههای سازمان به دامنههای زیر:
- Da[.]alibuf[.]com
- Dnn[.]alibuf[.]com
- X[.]alibuf[.]com
- Liang[.]alibuf[.]com
- Pools[.]alibuf[.]com
- Dns[.]alibuf[.]com
- Amd[.]alibuf[.]com
- Ca[.]posthash[.]org
- Stop[.]posthash[.]org
- Ip[.]3322[.]net
- Ip138[.]com
- xt[.]freebuf[.]info
- Miner[.]fee[.]xmrig[.]com
- Emergency[.]fee[.]xmrig[.]com
- Minergate[.]com
- Nicehash[.]com
- pool[.]minexmr[.]to
- xmr[.]usa-138[.]com
- pool[.]minexmr[.]com
- bulletpool[.]ru
- xmr-eu1[.]nanopool[.]org
- xmr[.]kiss58[.]org
- fee[.]xmrig[.]com
- pool[.]minexmr[.]com
- pool[.]minexmr[.]to
- بهروزرسانی سیستم عامل و نرمافزارهای ضدویروس (خصوصاً وصله منتشر شده برای رفع آسیبپذیریهای MS17-010)
- بستن یا محدودسازی دسترسی به پورتهای 445، 139 و 3389.
این مرکز افزوده که مقابله با آدرسهای IP میزبان این دامنهها از طریق مراکز CERT کشورهای مربوطه درحال پیگیری میباشد.