تروجان CryptoShuffler تمام تلاش خود را می کند تا مورد توجه قرار نگیرد، و بیت کوین ها را با حیله گری به سرقت می برد.
تصور کنید که یک روز تصمیم می گیرید از بیت کوین برای پرداخت هزینه مثلاً یک پیتزا استفاده کنید. آدرس کیف پول را از وب سایت پیتزا فروشی کپی می کنید، مقدار مورد نیاز را وارد می کنید و روی دکمه ارسال کلیک می کنید. انتقال انجام می شود، اما پیتزا نمی رسد. صاحبان پیتزا فروشی می گویند که هرگز پولی را دریافت نکرده اند. چه خبر است؟ از بچه های پیتزا فروشی عصبانی نشوید - همه چیز به CryptoShuffler بستگی دارد.
برخلاف دیگر باج افزارهای رمز ارزی، این تروجان اثرات چشمگیری از خودش نشان نمیدهد، در عوض بی سر و صدا در حافظه کامپیوتر قرار می گیرد و کلیپ بورد - محل ذخیره موقت عملیات برش/ چسباندن را کنترل می کند.
به محض اینکه CryptoShuffler آدرس یک کیف پول رمزنگاری شده را در کلیپ بورد مشاهده کرد (تمایز این آدرس ها با طول خط و کاراکترهای خاص بسیار آسان است)، آدرس را با آدرس دیگری جایگزین می کند. در نتیجه، انتقال ارز دیجیتال با مقدار مشخص شده توسط پرداختکننده واقعاً انجام میشود، فقط گیرنده پیتزا فروشی نیست، بلکه سارقان پشت CryptoShuffler هستند.
با مطالعه تروجان، آزمایشگاه کسپرسکی متوجه شد که این بدافزار نه تنها بیت کوین، بلکه اتریوم، زی کش، مونرو، دش، دوج کوین (بله، واقعی است) و سایر ارزهای دیجیتال را نیز هدف قرار می دهد. جایگزینی کیف پول بیت کوین سودآورترین فعالیت این تروجان است – در زمان انتشار، مهاجمان کمی بیش از 23 بیت کوین (حدود 140000 دلار با نرخ ارز فعلی) به دست آورده بودند.
دیگر کیف پولهای ارزهای دیجیتال متعلق به سازندگان CryptoShuffler حاوی مبالغی از دهها تا هزاران دلار بودند.
تروجان کمی بیشتر از یک سال طول کشید تا این پول را جمع آوری کند. اوج فعالیت در اواخر سال 2016 با یک رکود همراه بود، اما سپس در ژوئن 2017، CryptoShuffler دوباره بیدار شد.
این تروجان به وضوح نشان می دهد که رایانه یا تلفن هوشمند آلوده لزوماً کاهش سرعت پیدا نمیکند و پیام های باج نمایش نمی دهد. برعکس، بسیاری از بدافزارها سعی میکنند تا حد امکان مخفیانه عمل کنند. هرچه مدت بیشتری شناسایی نشوند، پول بیشتری برای سازندگانشان به دست خواهند آورد.
بنابراین توصیه ما به همه کاربران ارزهای دیجیتال این است که مراقب باشند و از خودشان محافظت کنند. محصولات کسپرسکی CryptoShuffler را به نام Trojan-Banker.Win32.CryptoShuffler.gen شناسایی می کنند و نیازی به گفتن نیست که تمام اقدامات آن را مسدود می کند.
منبع: https://www.kaspersky.com/blog/cryptoshuffler-bitcoin-stealer/19976
ترجمه توسط اورجینال کی: https://original-key.com
