02141764000
ایمیل
پشتیبانی
cryptojacking

بررسی حملات Cryptojacking

Cryptojacking چیست؟

Cryptojacking نوعی حمله سایبری است که در آن مهاجم بدون اطلاع کاربر، از منابع سخت‌افزاری دستگاه او مانند پردازنده، حافظه و برق برای استخراج (mining) ارز دیجیتال استفاده می‌کند. این نوع حمله معمولاً از طریق اجرای یک اسکریپت مخرب در مرورگر یا نصب بدافزار روی سیستم انجام می‌شود و برخلاف بسیاری از حملات دیگر، هدف آن سرقت مستقیم اطلاعات نیست، بلکه بهره‌برداری پنهانی از قدرت محاسباتی دستگاه قربانی است. در این روش، هکر با استفاده از توان پردازشی سیستم، معادلات پیچیده ریاضی را حل می‌کند که در ازای آن، ارز دیجیتال دریافت می‌کند. این ارز دیجیتال می‌تواند در یک exchange با دیگر رمزارزها یا fiat currency مبادله شود. در این حمله، مهاجم هیچ هزینه‌ای برای تجهیزات یا مصرف برق پرداخت نمی‌کند، اما در مقابل، سیستم قربانی دچار کندی، افزایش مصرف منابع، کاهش عمر سخت‌افزار و حتی اختلال در عملکرد می‌شود. با گسترش استفاده از digital currencies و رشد سریع decentralized finance (DeFi)، انگیزه مهاجمان برای انجام چنین حملاتی بیشتر شده است. در نتیجه، Cryptojacking به یکی از تهدیدات رایج و رو‌ به ‌رشد در فضای سایبری تبدیل شده است، به‌ ویژه برای سازمان‌ها و کاربران بی‌اطلاعی که ممکن است مدت‌ها بدون آگاهی قربانی این حمله باشند. تشخیص زودهنگام و استفاده از راهکارهای امنیتی به ‌روز، نقش مهمی در مقابله با این تهدید دارد.

نحوه عملکرد cryptojacking

همان طور که گفته شد، در این حمله‌ سایبری، هکرها به صورت مخفیانه وارد سیستم‌های کاربران شده و نرم‌افزارهای استخراج ارز دیجیتال را نصب می‌کنند. این نرم‌افزارها بدون اطلاع کاربر، در پس‌زمینه دستگاه اجرا می‌شوند و از قدرت پردازش آن برای استخراج ارز دیجیتال یا حتی دسترسی به کیف پول‌های دیجیتال بهره می‌برند. هکرها عمدتاً دو روش اصلی برای اجرای حملات cryptojacking دارند:

  • مهاجم با بهره‌گیری از روش‌های مهندسی اجتماعی، از جمله ارسال ایمیل‌های فیشینگ حاوی لینک‌های مخرب یا فایل‌های آلوده، کاربر را فریب داده و او را به کلیک کردن روی این لینک‌ها ترغیب می‌کند؛ اقدامی که در نهایت منجر به نصب نرم‌افزار استخراج ارز دیجیتال بر روی دستگاه قربانی می‌شود.
  • مهاجم با آلوده‌سازی وب‌سایت‌ها یا تبلیغات آنلاین به کدهای مخرب جاوا اسکریپت، شرایطی را فراهم می‌کند که این کدها بلافاصله پس از بارگذاری صفحه در مرورگر کاربر فعال شوند و به ‌صورت پنهانی، فرآیند استخراج ارز دیجیتال را بدون اطلاع کاربر آغاز کنند.

معمولاً هکرها از هر دو روش به صورت همزمان استفاده می‌کنند تا بیشترین سود را ببرند. برخلاف بدافزارهای رایج که ممکن است داده‌ها را خراب یا حذف کنند، اسکریپت‌های cryptojacking به داده‌های کاربر آسیبی نمی‌رسانند اما منابع سخت‌افزاری و پردازشی دستگاه را مصرف می‌کنند. برای کاربران عادی، این مسئله ممکن است فقط باعث کاهش سرعت و کند شدن سیستم شود، اما برای سازمان‌ها مشکل بزرگتری است، چرا که:

  1. هزینه‌های اضافی برای تیم‌های پشتیبانی و IT به دلیل پیگیری مشکلات و تعمیر یا تعویض سخت‌افزار افزایش می‌یابد.
  2. مصرف برق به شکل قابل توجهی بالا می‌رود و هزینه‌ها را افزایش می‌دهد.

برخی از این اسکریپت‌ها توانایی گسترش خودکار در شبکه(مشابه ویروس‌ها) را دارند و می‌توانند به دستگاه‌های دیگر متصل به همان شبکه نفوذ کنند. این ویژگی باعث می‌شود شناسایی و حذف آن‌ها بسیار پیچیده‌تر و دشوارتر شود. همچنین، این اسکریپت‌ها دستگاه را بررسی می‌کنند تا ببینند آیا قبلاً توسط نرم‌افزار استخراج ارز دیجیتال دیگری آلوده شده است یا خیر؛ در صورت شناسایی چنین نرم‌افزاری، آن را غیرفعال کرده و کنترل استخراج را به دست می‌گیرند.
حمله cryptojacking فقط محدود به کامپیوترهای شخصی نیست و دستگاه‌های موبایل اندرویدی را نیز می‌تواند مورد هدف قرار ‌دهد. هرچند قدرت پردازشی گوشی‌ها محدود است، اما وقتی هزاران دستگاه به طور همزمان آلوده شوند، مجموع این توان محاسباتی برای هکرها سودآور خواهد بود.
در گذشته، برخی وبسایت‌ها با اجازه و رضایت کاربران از قدرت پردازشی دستگاه‌های آن‌ها برای استخراج ارز دیجیتال استفاده می‌کردند. این روش نوعی توافق دوطرفه محسوب می‌شد، کاربران از خدمات یا محتوای رایگان بهره‌مند می‌شدند و در مقابل، سایت‌ها با استفاده از منابع سخت‌افزاری کاربران به درآمدزایی از طریق استخراج ارز دیجیتال می‌پرداختند. این مدل به‌ ویژه در وب‌سایت‌هایی که کاربران زمان زیادی را در آن‌ها سپری می‌کردند، مانند پلتفرم‌های بازی یا تماشای ویدیو، کاربرد داشت. با این حال، مسئله‌ای که به ‌تدریج مطرح شد، این بود که کاربران اغلب نمی‌دانستند دقیقاً چه میزان از منابع سیستم آنها مصرف می‌شود یا این فرایند تا چه حد تحت کنترل و اطلاع آن‌ها انجام می‌گیرد. همین ابهام باعث شد اعتماد به این روش کاهش یابد و در بسیاری موارد، مرز میان استفاده مجاز و سوءاستفاده از منابع کاربران از بین برود.

نمونه‌های واقعی از حملات Cryptojacking

  • در سال ۲۰۱۸ فاش شد که وبسایت مشهور به اشتراک‌ گذاری فایل The Pirate Bay به ‌طور مخفیانه از کد جاوا اسکریپت مربوط به سرویس Coinhive استفاده می‌کرد؛ سرویسی که برای استخراج ارز دیجیتال Monero طراحی شده بود. این کد هنگام بازدید کاربران از سایت، بدون کسب اجازه و اطلاع آن‌ها، در پس‌زمینه مرورگر اجرا می‌شد و منابع پردازشی سیستم را به کار می‌گرفت. کاربران هیچ گزینه‌ای برای انصراف از این فرآیند نداشتند و استخراج ارز به ‌صورت پنهانی، در طول بازدید آن‌ها از سایت ادامه پیدا می‌کرد.
  • در سال ۲۰۱۹، هشت اپلیکیشن مجزا که به‌ طور مخفیانه با استفاده از منابع سیستم کاربر اقدام به استخراج رمزارز می‌کردند، از Microsoft Store حذف شدند. این اپلیکیشن‌ها ظاهراً توسط سه توسعه ‌دهنده مختلف منتشر شده بودند، اما گمان می‌رفت که همه آن‌ها در واقع به یک فرد یا گروه یکسان تعلق داشته‌اند. این برنامه‌ها از طریق جستجوی کلمات کلیدی در Microsoft Store، در دسترس کاربران قرار می‌گرفتند. هنگامی که کاربر یکی از این برنامه‌ها را دانلود و اجرا می‌کرد، به‌ طور ناخواسته کد جاوااسکریپتی که برای استخراج ارز دیجیتال طراحی شده بود نیز بارگیری می‌شد. این اسکریپت فعال می‌شد و با استفاده از منابع پردازشی دستگاه، رمزارز Monero استخراج می‌کرد که در نتیجه باعث کاهش چشمگیر عملکرد دستگاه می‌شد.
  • در اوایل سال ۲۰۱۸، مشخص شد که اسکریپت استخراج رمزارز CoinHive به طور مخفیانه از طریق تبلیغات نمایش داده شده در YouTube اجرا می‌شود. این تبلیغات بر بستر پلتفرم تبلیغاتی DoubleClick متعلق به گوگل قرار داشتند و بدون اطلاع کاربران، کد استخراج Monero را فعال می‌کردند. در نتیجه، هزاران دستگاه هنگام مشاهده این تبلیغات، به صورت ناخواسته به استخراج رمزارز مشغول می‌شدند و منابع پردازشی آن‌ها به طور چشمگیری مصرف می‌شد.
  • در سال ۲۰۱۸، بیش از ۲۰۰,۰۰۰ روتر MikroTik در برزیل مورد هدف حمله سایبری گسترده‌ای قرار گرفتند. در این حمله، مهاجمان با سوء استفاده از ضعف‌های امنیتی این دستگاه‌ها، فرآیند استخراج رمزارز CoinHive را به صورت گسترده و پنهانی در ترافیک وب کاربران فعال کردند. این موضوع باعث کاهش چشمگیر عملکرد دستگاه‌ها و افزایش مصرف منابع شبکه شد و امنیت کاربران و شبکه‌های خانگی و سازمانی را به شدت تهدید کرد.

تحولات حملات Cryptojacking و تأثیر آن بر امنیت شبکه‌های سازمانی:

با گسترش روزافزون فناوری بلاکچین و افزایش محبوبیت رمزارزها، حملات Cryptojacking نیز به طور چشمگیری رشد یافته‌اند و مهاجمان به ‌صورت مداوم در حال به‌ کارگیری روش‌های نوین برای اجرای این تهدیدات پیچیده هستند. در ادامه به مهم‌ترین روندهایی اشاره می‌شود که سازمان‌ها و متخصصان امنیتی ممکن است با آن‌ها مواجه شوند:

  • Cloud-based cryptojacking: در سال‌های اخیر، مهاجمان سایبری به طور قابل توجهی تمرکز خود را بر زیرساخت‌های مبتنی بر ابر (Cloud Infrastructure) افزایش داده‌اند. آن‌ها با مورد هدف قرار دادن سرویس‌های ابری، کلاسترهای Kubernetes و containerized workloads، عملیات استخراج رمزارز را با مقیاس بسیار بزرگتر و بازدهی بالاتری انجام می‌دهند. چرا که منابع ابری به دلیل قابلیت گسترش سریع، انعطاف‌پذیری بالا و دسترسی از راه دور، بستری ایده‌آل برای انجام فعالیت‌های استخراج رمزارز غیرمجاز فراهم می‌کنند. مهاجمان با نفوذ به حساب‌های ابری یا سوءاستفاده از تنظیمات نادرست امنیتی، می‌توانند بدون اینکه قربانیان متوجه شوند، از قدرت محاسباتی سرورها و کلاسترهای ابری برای استخراج رمزارز استفاده کنند.
  • IoT cryptojacking و edge cryptojacking: با پیشرفت و توسعه زیرساخت‌های نوین، مهاجمان، حوزه فعالیت خود را به دستگاه‌های متصل به اینترنت اشیاء (Internet of Things) گسترش داده‌اند. آن‌ها با استفاده از اسکریپت‌ها و بدافزارهای cryptojacking اقدام به آلوده‌ سازی تجهیزات هوشمند، سیستم‌های صنعتی IoT و حتی خودروهای هوشمند می‌کنند تا بتوانند از منابع این دستگاه‌ها برای استخراج رمزارز بهره‌برداری کنند.
  • Cryptojacking malware integrated with ransomware: به ‌منظور افزایش اثربخشی، برخی مهاجمان بدافزارهای cryptojacking را با فرایندهایی مانند data theft، رمزگذاری باج‌افزاری (ransomware encryption) و ابزارهای کنترل از راه دور (Remote Access Trojans) ترکیب کرده‌اند تا حملات خود را پیچیده‌تر کنند.
  • Cryptojacking-as-a-Service (CJaaS): یکی از تهدیدات نوظهور و نگران‌ کننده در دنیای امنیت سایبری، پدیده‌ای به نام Cryptojacking-as-a-Service است. در این مدل، مجرمان سایبری با بهره‌گیری از زیرساخت‌های موجود در دارک ‌وب، پلتفرم‌هایی را ارائه می‌دهند که امکان اجرای حملات Cryptojacking را به ‌صورت پنهانی برای کاربران غیرحرفه‌ای نیز فراهم می‌سازند. این خدمات آماده، دقیقاً مشابه مدل‌های قانونی مانند SaaS طراحی شده‌اند، با این تفاوت که هدف آن‌ها تسهیل در انجام فعالیت‌های مجرمانه است. سرویس‌های CJaaS معمولاً شامل پنل‌های مدیریتی با رابط کاربری ساده، اسکریپت‌های آماده برای نفوذ به سیستم‌ها، آموزش‌های ویدیویی، ابزارهای دور زدن آنتی‌ ویروس و حتی پشتیبانی فنی در دارک ‌وب هستند.

نشانه‌های حملات Cryptojacking:

  • افت محسوس عملکرد سیستم: در صورتی که دستگاه شما نسبت به گذشته با کندی مواجه شده، به ‌صورت مکرر هنگ می‌کند، ناگهان دچار کرش (Crash) می‌شود یا سرعت پاسخ‌ دهی آن کاهش یافته است، این موارد می‌توانند نشانه‌ای از فعالیت‌های پنهانی مانند استخراج رمزارز در پس‌زمینه سیستم باشند. از دیگر نشانه‌های احتمالی می‌توان به افزایش غیرعادی دمای دستگاه، به ‌ویژه در لپ‌تاپ‌ها و تلفن‌های همراه، در زمانی که هیچ برنامه سنگینی در حال اجرا نیست، اشاره کرد. این علائم می‌توانند هشداری جدی درباره وجود بدافزارهای استخراج رمزارز باشند.
  • استفاده‌ی غیرعادی از CPU یا GPU: یکی از شاخص‌ترین نشانه‌های وجود فعالیت مشکوک در سیستم، مصرف غیرعادی و مداوم منابع سخت‌افزاری مانند پردازنده مرکزی (CPU) و پردازنده گرافیکی (GPU) است، به ‌ویژه در شرایطی که هیچ نرم‌افزار سنگینی در حال اجرا نیست. این وضعیت می‌تواند حاکی از اجرای مخفیانه برنامه‌هایی مانند ماینرهای رمزارز باشد. برای بررسی دقیق این موضوع، می‌توان از ابزارهای نظارتی نظیر Task Manager در ویندوز یا Activity Monitor در سیستم‌عامل macOS استفاده کرد.
  • افزایش مصرف برق یا کاهش عمر باتری: در صورتی که بدون تغییر در الگوی استفاده یا نصب نرم‌افزارهای جدید، با افزایش غیرمنتظره مصرف برق یا کاهش محسوس سرعت شارژدهی باتری مواجه شدید، این موضوع می‌تواند نشانه‌ای از فعالیت‌های پنهان و مخربی مانند استخراج رمزارز توسط بدافزارها در پس‌زمینه سیستم باشد. چنین فعالیت‌هایی فشار مداومی بر منابع سخت‌افزاری وارد می‌کنند و منجر به مصرف بیشتر انرژی خواهند شد.
  • ترافیک مشکوک شبکه: در حملات Cryptojacking، ممکن است دستگاه آلوده به ‌صورت مداوم با سرورهای ناشناس در ارتباط باشد یا حجم بالایی از داده‌ها را به بیرون از شبکه ارسال کند. این نوع ترافیک غیرمعمول را می‌توان با استفاده از ابزارهای نظارت بر شبکه شناسایی کرد. مشاهده‌ی ارتباطات رمزگذاری ‌شده‌ی غیرعادی یا مقاصد ناشناس در گزارش‌های ترافیکی، هشداری جدی به ‌شمار می‌آید و لازم است بلافاصله مورد بررسی قرار گیرد.
  • وجود پردازش‌های ناشناس یا مشکوک در پس‌زمینه سیستم: بدافزارهای مرتبط با Cryptojacking معمولاً تلاش می‌کنند با پنهان شدن در میان فرآیندهای عادی سیستم از شناسایی توسط کاربر یا نرم‌افزارهای امنیتی جلوگیری کنند. با این حال، در صورت مشاهده پردازش‌هایی با نام‌های ناشناخته، رفتار غیرمعمول، یا مصرف بالای منابع سیستم، به‌ ویژه اگر منشأ آن‌ها برای شما مشخص نباشد، احتمال آلودگی سیستم وجود دارد و بررسی دقیق‌تر ضروری است.

چگونه از خود در برابر حملات Cryptojacking محافظت کنیم؟

  • استفاده از یک نرم‌افزار امنیتی کامل و به ‌روز: نخستین و مهم‌ترین اقدام برای محافظت از سیستم در برابر تهدیداتی مانند cryptojacking، نصب و استفاده از یک نرم‌افزار امنیتی کامل، مطمئن و به‌ روز است. این نوع نرم‌افزارها با بهره‌گیری از فناوری‌های پیشرفته، می‌توانند انواع بدافزارها، اسکریپت‌های پنهان استخراج رمزارز، فایل‌های مشکوک و رفتارهای غیرعادی در سیستم را به‌ طور خودکار شناسایی و مسدود کنند.
  • همواره سیستم و برنامه‌ها را به‌ روز نگه دارید: تهدیدهای جدید معمولا از ضعف‌های امنیتی نرم‌افزارها بهره‌برداری می‌کنند. نصب سریع به ‌روزرسانی‌ها و پچ‌های امنیتی سیستم‌عامل، مرورگرها، افزونه‌ها و سایر برنامه‌ها، احتمال نفوذ مهاجمان را بسیار کاهش می‌دهد.
  • آگاهی از جدیدترین روندها و تکنیک‌های حمله: مجرمان سایبری به سرعت روش‌های خود را تغییر می‌دهند و از روش‌های نوین برای پنهان کردن حملات استفاده می‌کنند. پیگیری اخبار امنیتی و آشنایی با روندهای جدید کمک می‌کند تا در برابر حملات cryptojacking و سایر تهدیدات آماده‌تر باشید.
  • استفاده از افزونه‌های مرورگر برای مسدودسازی cryptojacking: یکی از روش‌های مؤثر و در عین حال ساده برای جلوگیری از cryptojacking، استفاده از افزونه‌های تخصصی مرورگر است که به ‌طور خاص برای شناسایی و مسدودسازی اسکریپت‌های مخرب استخراج رمزارز طراحی شده‌اند. افزونه‌هایی مانند minerBlock، No Coin و Anti Miner به ‌صورت مستقیم مرورگر را بررسی کرده و از اجرای کدهای مشکوک یا مخفی در پس‌زمینه صفحات وب جلوگیری می‌کنند. این افزونه‌ها بدون نیاز به دانش فنی خاص، به ‌راحتی روی مرورگرهای محبوب مانند Chrome و Firefox نصب می‌شوند.
  • نصب ابزارهای مسدود کننده تبلیغات (Ad Blockers): بسیاری از اسکریپت‌های مربوط به cryptojacking از طریق تبلیغات آنلاین آلوده در وبسایت‌ها اجرا می‌شوند. به همین دلیل، استفاده از ابزارهای مسدود کننده تبلیغات مانند AdBlock Plus می‌تواند نقش مهمی در کاهش ریسک این نوع حملات داشته باشد. این ابزارها نه تنها تبلیغات مزاحم را حذف می‌کنند، بلکه توانایی شناسایی و مسدودسازی کدهای مخرب پنهان‌ شده در تبلیغات را نیز دارند.
  • غیرفعال کردن جاوا اسکریپت در مرورگر: یکی از روش‌های رایج حمله، اجرای اسکریپت‌های استخراج رمزارز از طریق جاوا اسکریپت است. غیرفعال کردن جاوا اسکریپت به ‌طور کلی می‌تواند از اجرای این اسکریپت‌ها جلوگیری کند. البته این کار ممکن است باعث شود برخی سایت‌ها درست کار نکنند، پس باید با احتیاط و در مواقع ضروری این گزینه را فعال یا غیرفعال کنید.
  • فعال کردن فایروال و سیستم نظارت بر ترافیک شبکه: فایروال‌ها می‌توانند ارتباطات غیرمجاز با سرورهای استخراج رمزارز را شناسایی و مسدود کنند. همچنین، با استفاده از ابزارهای تحلیل ترافیک شبکه می‌توان فعالیت‌های مشکوک و غیرعادی را بررسی کرده و به موقع اقدامات لازم را انجام داد.
  • کنترل دقیق فعالیت‌های PowerShell و اسکریپت‌های سیستم: به دلیل اینکه بسیاری از بدافزارهای cryptojacking از اسکریپت‌هایfileless malware استفاده می‌کنند، نظارت بر اجرای دستورات PowerShell و بررسی دقیق فعالیت‌های آن می‌تواند به شناسایی این حملات کمک کند.
  1. آموزش کارکنان: افزایش آگاهی کاربران و کارکنان سازمان‌ها درباره خطرات ناشی از حملات Cryptojacking، روش‌های شناسایی این تهدیدات و راهکارهای مقابله با آن‌ها، یکی از مهم‌ترین و مؤثرترین گام‌ها در پیشگیری از این نوع حملات است. یک تیم هوشیار و آموزش دیده می‌تواند با تشخیص به موقع این حملات، از نفوذ گسترده‌تر و آسیب‌های احتمالی به زیرساخت‌های سازمان جلوگیری کند و امنیت کلی شبکه را به طور قابل توجهی بهبود بخشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اشتراک گذاری این مطلب

دسته‌بندی‌ها

مطالب پر طرفدار