Perangkat Lunak Jahat Bitcoin | Bagaimana cara Mengamankan Mata Uang Digital

Waktu Membaca: 4 menit

Uang elektronik (e-money) semakin sering digunakan oleh orang untuk melakukan pembelian online. Dan tentunya saat malam mengikuti siang, ini berarti uang elektronik juga mendapatkan perhatian malware penulis yang mencoba memanfaatkannya dengan cara apa pun yang memungkinkan. Kami menemukan sampel berbahaya, yang perannya bukan untuk mencuri tetapi untuk menghasilkan (untuk 'menambang') mata uang digital menggunakan 'kumpulan penambangan' Bitcoin (jaringan komputasi terdistribusi untuk menghasilkan 'Bitcoin'). Serangan tersebut dilakukan dengan menginstal program trojan horse di jaringan komputer korban dan kemudian menggunakan kekuatan pemrosesan mereka untuk menghasilkan blok Bitcoin.

Jadi apa itu Bitcoin dan bagaimana cara kerjanya? Tidak seperti mata uang tradisional, yang dihasilkan melalui otoritas pusat seperti bank penerbit, Bitcoin dihasilkan secara dinamis jika diperlukan melalui jaringan node peer-to-peer yang terdesentralisasi - atau 'penambang'. Setiap 'penambang' adalah sekumpulan sumber daya komputer (terkadang hanya komputer biasa seperti yang ada di desktop Anda) yang telah dikhususkan untuk menangani transaksi Bitcoin. Setelah transaksi ini cukup, mereka dikelompokkan ke dalam 'blok' - dan blok transaksi tambahan ini kemudian ditambahkan ke 'rantai blok' utama yang dikelola di seluruh jaringan Bitcoin yang lebih besar. Hal utama yang perlu diperhatikan di sini adalah bahwa proses menghasilkan 'blok' sangat intensif perangkat keras dan membutuhkan banyak daya komputasi. Jadi, sebagai imbalan untuk menawarkan perangkat keras mereka secara sukarela, penambang yang berhasil menghasilkan blok diberi hadiah Bitcoin dan diberi biaya transaksi apa pun dari blok itu. Sistem pemberian hadiah kepada penambang ini sebenarnya juga merupakan mekanisme di mana suplai uang Bitcoin meningkat.

Seperti yang disebutkan, tuntutan komputasi untuk menghasilkan blok sangat tinggi sehingga semakin banyak kekuatan pemrosesan yang dapat digunakan entitas, semakin banyak transaksi yang dapat mereka tangani dan semakin banyak Bitcoin yang dapat mereka terima. Dan sumber daya komputasi apa yang lebih baik bagi peretas selain jaringan PC zombi miliknya yang tanpa henti melakukan transaksi Bitcoin?

Trojan yang menginstal komponen penambangan berukuran 80KB dan, setelah dieksekusi, ia mendekripsi dalam memori file PE yang terletak di .kode bagian, pada 0x9400, ukuran 0xAA00. Dekripsi adalah byte XOR sederhana, dengan 20 kunci byte berurutan terletak di .idata bagian. Langkah-langkah instalasi diambil oleh proses baru dalam memori yang didekripsi yang mengunduh komponen yang diperlukan dan juga berisi parameter penambangan (seperti kredensial pengguna dan kata sandi untuk kumpulan penambangan, semua dienkripsi dalam sumber daya).

File terenkripsi dikemas dengan UPX. Sumber daya penting ada dalam file:

Resource OTR0 terenkripsi

Ini berisi parameter yang berjalan dan kredensial untuk kumpulan penambangan ("-t 2 -o http://user:password@server.com:port“. Parameter -t adalah jumlah utas yang digunakan untuk perhitungan. Parameter -o menentukan server yang akan dihubungkan.

Dekripsi mengungkapkan alamat dan kredensial untuk server kumpulan

OTR2 - [7C 6E 6C 63 60 76 25 66 7F 68] - nama file penambangan yang dijatuhkan (socket.exe)
OTR8 - [7C 6E 6C 63 60 76 78 2D 62 75 60] - nama yang digunakan untuk menyalin sendiri file (sockets.exe)
OTR9 - [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] - kunci dekripsi untuk string sumber daya terenkripsi (ini akan digunakan untuk mendekode parameter string yang disimpan sebagai sumber daya)

File tersebut menyalin dirinya sendiri ke Dokumen SayaWindowssockets.exe dan menjalankan salinannya.

Setelah eksekusi, itu mengunduh file-file berikut:

- 142.0.36.34/u/main.txt - Biner penambangan yang disimpan sebagai "socket.exe", yang tampaknya merupakan modifikasi dari aplikasi penambangan sumber terbuka yang dikenal.
- 142.0.36.34/u/m.txt - File teks biasa yang berisi nilai hex dari PE biner akan diubah menjadi "miner.dll", ketergantungan sebelumnya.

- 142.0.36.34/u/usft_ext.txt - File biner, ketergantungan disimpan sebagai "usft_ext.dll".
- 142.0.36.34/u/phatk.txt - Disimpan sebagai "phatk.ptx" - instruksi assembler untuk GPU, yang dapat digunakan untuk penghitungan lanjutan.
- 142.0.36.34/u/phatk.cl - Disimpan sebagai "phatk.cl" - file sumber yang dirancang untuk kalkulasi GPU.

Ketika semua unduhan selesai dan ketergantungan sudah ada, biner penambangan diluncurkan dengan parameter yang diterjemahkan dan mulai membuat perhitungan untuk menghasilkan koin virtual. Seperti yang diperkirakan, penggunaan CPU meningkat, membuat komputer dalam beban tinggi.

Biner berbahaya berulang kali berkomunikasi dengan server kolam setelah menyelesaikan siklus komputasi dan mengirimkan hasil perhitungannya - "koin virtual".

Trojan penetes:
Filename: sockets.exe
SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda
MD5: ba9c16fa419d24c3eadb74e016ad544f
CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Menambang biner:
Filename: socket.exe
SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce
MD5: e82cd32fefb2f009c84c14cec1f13624
CIS detection name: Application.Win32.CoinMiner.b

Solusi ITSM

MULAI PERCOBAAN GRATIS DAPATKAN SCORECARD KEAMANAN INSTAN ANDA GRATIS

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• ChartPrime. Tingkatkan Game Trading Anda dengan ChartPrime. Akses Di Sini.
• BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
• Sumber: https://blog.comodo.com/e-commerce/malware-using-your-computer-to-make-digital-money/