اینگونه به نظر میرسد که دوران طلایی ارزهای مجازی به آرامی رو به افول نهاده است. در حالی که نزدیک به دو ماه قبل قیمت ارز مجازی بیتکوین به رقم ۱۹۰۰۰ هزار دلار رسیده بود، اکنون مشاهده میکنیم که قیمت این ارز مجازی به رقم ۱۱۰۰۵ (در زمان نگارش این مقاله) دلار رسیده است. سایر ارزهای دیجیتالی نیز یک افت قابل توجه را تجربه کردهاند. رشد نجومی قیمت بیتکوین باعث به وجود آمدن بازار بسیار داغی شد که حتا برخی از مردم خانههای خود را به عنوان وثیقه گرو گذاشتند تا بتوانند بیتکوین بیشتری خریداری کنند. اما به نظر میرسد تازه در آغاز راه هستیم و باید خبرهای بد بیشتری در ارتباط با ارزهای مجازی بشنویم.
در همین ارتباط پژوهشگران امنیتی به تازگی موفق شدند خانواده جدیدی از بدافزارها را شناسایی کنند که بهطور خاص سرورهای وب سراسر جهان را هدف قرار دادهاند. هکرها به دنبال آن هستند تا از طریق یک باتنت و با سوء استفاده از سرورها ارز مجازی استخراج کنند. کارشناسان امنیتی در گزارش خود اعلام کردهاند که بدافزار جدیدی به نام RubyMiner را کشف کردهاند. این بدافزار در اواخر ژانویه سعی کرده بود از طریق پیادهسازی یک حمله بزرگ و هماهنگ شده سرورهای وب مستقر در ایالات متحده، آلمان، انگلستان، نرژو و سوئد را هدف قرار دهد. به نظر میرسد این حمله از جانب یک سازمان هکری به وقوع پیوسته است، به واسطه آنکه بدافزار فوق در نظر داشت در یک روز نزدیک به یک سوم شبکه جهانی را تحت تاثیر خود قرار داده و به سوء استفاده از سرورها بپردازد.
این بدافزار به گونهای طراحی شده است که سرورهای لینوکسی و ویندوزی را هدف قرار دهد. بدافزار RubyMiner برای منظور از آسیبپذیری ثبت شده به شماره CVE-2013-0156 که در خلال سالهای ۲۰۱۲ و ۲۰۱۳ میلادی شناسایی شد اما بعضی از شرکتها وصله مربوطه را روی سرورهای خود نصب نکردهاند به منظور نصب یک استخراجکننده ارز مجازی بهره برده است. جالب آنکه هکرها در این راه هیچگونه تلاشی نکردهاند تا فعالیتهای خود را پنهان کنند، بلکه به دنبال آن بودند تا در اسرع وقت به حجم بسیار بالایی از سرورهای وب مبتنی بر پروتکل انتقال ابرمتن آسیبپذیر حمله کنند. بدافزار فوق که در قالب یک کمپین مخرب عمل میکند آسیبپذیریهای موجود در نرمافزارهای Ruby On Rails، IIS مایکروسافت و پیاچپی را هدف قرار میدهد.
در این حمله هکرها موفق شدند در یک روز ۷۰۰ سرور که در کشورهای مختلف قرار داشتند را مورد حمله قرار دهند. در حملهای که Ruby On Rails را هدف قرار داده بود هکرها از یک آسیبپذیری شناسایی شده که هنوز ترمیم نشده بود برای اجرای کدهای راه دور خود استفاده کردند. در این حمله هکرها یک بارداده (payload) کدگذاری شده در قالب base64 را همراه با دستور POST توزیع کردند و در ادامه تلاش کردند تا مفسر زبان روبی که روی سرور هدف قرار داشت را فریب دهند تا درخواست آنها را اجرا کند. این بار داده با هدف اضافه کردن یک کرونجاب (cronjob) به سرور که قادر بود در هر ساعت اجرا شده و فایلrobots.txt را دانلود کند به سرور تزریق میشد. فایل فوق شامل یک اسکریپت شل بود که به منظور واکشی و در نهایت استخراج ارز مجازی به کار گرفته میشد. هکرها از آن جهت از فایل robots.txt استفاده کرده بودند تا هر زمان نیاز داشتند فرآیند استخراج روی سرور را خاتمه دهند به سرعت تغییرات مربوطه را روی سرور آسیبپذیر به مرحله اجرا در آورند.
دامنه lochjol.com از جمله دامنههایی است که در ارتباط با این کمپین هکری شناسایی شده است. دامنهای که پیش از این در سال ۲۰۱۳ میلادی نیز به کار گرفته شده بود. کارشناسان امنیتی میگویند هکرها حتا به سراغ سرورهای بانکاطلاعاتی نیز رفتهاند تا نه تنها از این سرورها به منظور استخراج ارز مجازی استفاده کنند، بلکه دادههای حساس درون این سرورها را جمعآوری کرده و در نهایت از این سرورها باتنت قدرتمندی به وجود آورده تا برای حمله منع سرویس انکار شده از آنها استفاده کنند. هکرها برای دسترسی به سرورهای بانکاطلاعاتی از حملات جستوجوی فراگیر و در ادامه اجرای دستورات SQL به منظور دسترسی مستمر و ممانعت از شناسایی شدن از طریق فایلهای گزارش استفاده کردهاند. در این کمپین نیز هکرها از سه بردار حمله Hex، Hanako و Taylor برای حمله به سرورهای Microsoft SQL و MySQL استفاده کردهاند. حمله Hex به منظور استخراج ارز مجازی و تزریق تروجانهای دسترسی از راه دور به سامانههای آلوده، حمله Taylor به منظور نصب یک روباینده کلیدها (key-logger) و نصب یک درب پشتی و از حمله Hanako به منظور بهرهبرداری از دستگاههای آلوده برای ساخت یک باتنت استفاده کردهاند.
