Xbash: باج‌افزاری قلابی در Linux، استخراج‌کننده ارز رمز در Windows

محققان شرکت شرکت امنیتی پالوآلتو نت‌ورکز از شناسایی بدافزار جدید پیشرفته‌ای با نام Xbash خبر داده‌اند که قادر به آلوده‌سازی دستگاه‌های با هر یک از سیستم‌های عامل Linux و Windows است. در عین حال، عملکرد این بدافزار بر روی هر یک از سیستم‌های عامل مذکور متفاوت گزارش شده است.

در دستگاه‌های با سیستم عامل Linux بدافزار Xbash در ظاهر یک باج‌افزار، دسترسی کاربر را به بانک‌های داده نرم‌افزارهای زیر مسدود می‌کند.

• MySQL
• PostgreSQL
• MongoDB

این مسدودسازی نه با رمزگذاری که با حذف این بانک‌های داده، آن هم بدون تهیه هر گونه نسخه پشتیبان صورت می‌گیرد. Xbash پس از حذف بانک‌های داده بر روی سرور، یک بانک داده جدید که حاوی اطلاعیه باج‌گیری (تصویر زیر) است ایجاد می‌کند.

در اطلاعیه از قربانی خواسته می‌شود تا مبلغ 0.02 بیت‌کوین را در ازای آنچه که این مهاجمان بازگردانی بانک داده می‌خوانند پرداخت کند.

به گزارش شرکت مهندسی شبکه گستر، اگر چه همانطور که اشاره شد امکان بازگردانی بانک‌های داده حذف شده فراهم نیست اما بررسی شماره کیف بیت‌کوین درج شده در اطلاعیه نشان می‌دهد که در عرض همان 48 ساعت اول قربانیان، در مجموع، مبلغ 0.964 را به این شماره کیف بیت‌کوین واریز کرده‌اند.

در دستگاه‌های با سیستم عامل Windows نیز بدافزار از طریق دریافت‌کننده‌ای مبتنی بر JavaScript یا VBScript اقدام به دریافت و اجرای ابزار استخراج‌کننده ارز رمز می‌کند.

این بد‌افزار قادر به پویش پودمان‌ها و سرویس‌های زیر است:

HTTP, VNC, MySQL, Memcached, FTP, Telnet, ElasticSearch, RDP, UPnP, NTP, DNS, SNMP, Rlogin, LDAP, CouchDB, Oracle Database

در برخی از این پودمان‌ها و سرویس‌ها، Xbash، در صورت شناسایی درگاه باز، حملات موسوم به Brute-force را به‌منظور رخنه به سرویس دهندگان با رمز عبور ضعیف اجرا می‌کند.

همچنین، این بدافزار، قادر به گسترش خود از طریق بهره‌جویی از آسیب‌پذیری‌های شناخته شده در سرویس‌های Hadoop،و Redis و ActiveMQ است.

Xbash با زبان برنامه‌نویسی Python توسعه داده شده و با استفاده از PyInstaller در قالب PE قرار گرفته است. روشی که عملا این بدافزار را قادر به عبور از سد بسیاری از ابزارهای امنیتی کرده و در عین حال، قابلیت اجرا بر روی انواع گونه‌های Linux را در کنار توانایی اجرا بر روی سیستم عامل Windows فراهم نموده است.

پالوآلتو نت‌ورکز، گروه Iron Group را گرداننده Xbash معرفی کرده است؛ گروهی که به اجرای حملات باج‌افزاری معروف است.

مشروح گزارش پالوآلتو نت‌ورکز در اینجا قابل دریافت و مطالعه است.