کریپتوجکینگ (Cryptojacking) چیست؟ + نحوه انجام و جلوگیری از آن

اگر علاقه‌مند به دنیای جذاب کریپتوکارنسی باشید، احتمالا در مورد استخراج ارزهای دیجیتال مانند بیت کوین شنیده‌اید و می‌دانید که برای استخراج باید از ماینرها یا کامپیوترهای بسیار قوی استفاده شود. شروع فرايند استخراج ارزهای دیجیتال چندان ارزان نیست و برای شروع و ادامه کار باید پیوسته به حجم سرمایه‌گذاری خود بیفزایید. آیا تا به حال به این فکر کرده‌اید که چه می‌شود اگر همه کامپیوترهای دنیا را به هم متصل کنیم و از قدرت پردازشی مجموع آن‌ها برای استخراج ارزهای دیجیتال استفاده کنیم؟! اگر به این مورد فکر کرده‌اید بهتر است بدانید که تنها نیستید و افرادی قبل از شما این ایده را اجرایی کرده و کریپتوجکینگ را ابداع کرده‌اند!

کریپتوجکینگ یا Cryptojacking یک نوع حمله اینترنتی است و زمانی اتفاق می‌افتد که کسی خلاف قانون و بدون کسب اجازه شما، از دستگاهتان برای استخراج ارزهای دیجیتال استفاده کند. این کار معمولا از طریق نرم افزارهای مخفی انجام می‌شود که بدون اطلاع شما در کامپیوتر، لپ‌تاپ یا تلفن همراه شما نصب شده است.

اگر می‌خواهید در مورد کریپتوجکینگ بیشتر بدانید، با نحوه انجام آن آشنا شوید و همچنین از بروز ‌چنین حملاتی پیشگیری کنید، در این مقاله از کریپتوباز همراه ما باشید.

کریپتوجکینگ چیست؟

کریپتوجکینگ یا cryptojacking یک نوع جرم سایبری است که در آن هکرها از قدرت پردازش کامپیوترهای دیگران برای استخراج ارزهای دیجیتال استفاده می‌کنند. ارزهای دیجیتال یا کیپتوکارنسی‌ها نوعی پول مجازی هستند که بر اساس رمزنگاری و الگوریتم‌های پیچیده ساخته می‌شوند. برای ساخت این ارزها باید محاسبات ریاضی سختی انجام داد که به این فرایند استخراج یا mining گفته می‌شود. استخراج ارزهای دیجیتال نیاز به تجهیزات پیشرفته و مصرف زیاد برق دارد. برای همین، هکرها سعی می‌کنند با استفاده از بدافزارهایی که به صورت مخفیانه بر روی کامپیوترهای قربانی نصب می‌شوند، از منابع آنها برای استخراج استفاده کنند. این کار باعث کاهش عملکرد، افزایش مصرف برق، گرم شدن بیش از حد و آسیب به سیستم‌های قربانی خواهد شد.

تاریخچه کریپتوجکینگ

کریپتوجکینگ در سال‌های ابتدایی پیدایش بیت کوین، یعنی حدود ۲۰۰۹ شروع شد. در آن زمان، هکرها با استفاده از بدافزارهایی که به صورت فایل ضمیمه یا لینک مخرب به کاربران ارسال می‌شد، سیستم‌های آن‌ها را آلوده کرده و سپس از آن‌ها برای استخراج بیت کوین BTC استفاده می‌کردند.

کریپتوجکینگ در سال‌های ۲۰۱۷ و ۲۰۱۸ شایع‌تر شد؛ زیرا قیمت ارزهای دیجیتال به بیشترین میزان خود رسید و هکرها روش‌های جدیدتری برای انجام این جرم ابداع کردند. در این دوره، هکرها از اسکریپت‌های جاوااسکریپت استفاده کردند که با بارگیری وبسایت‌های مشکوک یا تبلیغات در مرورگر کاربران، از قدرت پردازش آنها برای استخراج ارزهای دیجیتال مانند مونرو استفاده می‌کردند. این روش به نام کریپتوجکینگ مبتنی بر مرورگر شناخته شد و از پروژه‌های معروف آن می‌توان به Coinhive و Crypto-Loot اشاره کرد.

کریپتوجکینگ در سال‌های بعد نیز ادامه داشت و هکرها از روش‌های پیشرفته‌تری برای انجام این جرم استفاده کردند؛ برای مثال، از آسیب‌پذیری‌های سیستم‌عامل‌ها، منابع ابری، اپلیکیشن‌های موبایل و فضای اجتماعی برای انتشار بدافزارهای کریپتوجکینگ استفاده کردند. از نمونه‌های معروف این بدافزارها می‌توان به Smominru، WannaMine، FaceXWorm و Black-T اشاره کرد.

استخراج مرورگر یا کریپتوجکینگ؟ مسئله این است!

استخراج با مرورگر یا Browser Mining یک روش قانونی است که در آن کاربران با اجازه و اطلاع خود از قدرت پردازش مرورگرشان برای استخراج ارزهای دیجیتال استفاده می‌کنند. در این روش، کاربران معمولاً با مشاهده وبسایت‌هایی که این سرویس را ارائه می‌دهند، درآمد کسب می‌نمایند؛ برای مثال، Coinhive  یک سرویس استخراج ارز دیجیتال است که از استخراج از طریق مرورگر درآمد کسب می‌کند. کوین هایو به کاربران خود این امکان را می‌دهد تا با مشاهده وبسایت‌های مختلف درآمد کسب کنند. این سرویس در سال ۲۰۱۹ تعطیل شد؛ اما ممکن است سرویس‌های مشابهی هنوز فعال باشند.
در مقابل، کریپتوجکینگ یا Cryptojacking یک روش غیرقانونی است و همان طور که گفته شد، در این روش هکرها بدون اجازه و اطلاع کاربران از قدرت پردازش مرورگر یا سیستم آن‌ها برای استخراج ارزهای دیجیتال استفاده می‌کنند. در این روش، هکرها از بدافزارها یا اسکریپت‌های مخرب استفاده می‌کنند که با وارد شدن به سیستم یا بازدید وبسایت‌های مشکوک در مرورگر کاربران، از قدرت پردازش آن‌ها برای استخراج ارزهای دیجیتال استفاده می‌کنند. این کار باعث کاهش عملکرد، افزایش مصرف برق، گرم شدن بیش از حد و آسیب به سیستم‌های قربانی خواهد شد.

کریپتوجکینگ چگونه اتفاق می‌افتد؟

همان طور که گفته شد، سیستم به دو روش به کریپتوجکینگ آلوده می‌شود:

•    از طریق بدافزارهایی که به صورت فایل ضمیمه یا لینک مخرب به کاربران ارسال می‌شوند و با دانلود یا کلیک روی آنها، سیستم‌های قربانیان آلوده می‌شود. این بدافزارها به صورت نرم‌افزارهای جعلی، ایمیل‌های فیشینگ، تبلیغات مخرب یا حتی اپلیکیشن‌های موبایل عمل می‌کنند؛ برای مثال Smominru یک بدافزار کریپتوجکینگ است که از آسیب‌پذیری‌های ویندوز برای نفوذ به سیستم‌ها و استخراج مونرو استفاده می‌کند. مراحل آلوده شدن سیستم در این روش به این صورت است:

o    کاربر یک ایمیل یا پیام حاوی لینک یا فایل مخرب دریافت می‌کند.
o    کاربر بر روی لینک یا فایل کلیک می‌کند و بدافزار روی سیستم او دانلود و اجرا می‌شود.
o    بدافزار از قدرت پردازش سیستم کاربر برای استخراج ارز دیجیتال استفاده کرده و آن را به کیف پول هکر ارسال می‌کند. دقت کنید که کاربر ممکن است از وجود بدافزار بی‌اطلاع باشد یا اگر متوجه آن شود، نتواند آن را حذف کند. 

•    همچنین از طریق اسکریپت‌های جاوا که درون کد منبع وبسایت‌های مشکوک یا تبلیغات جاسازی می‌شوند نیز در استخراج ارزهای دیجیتال استفاده می‌شود. این روش به کریپتوجکینگ مبتنی بر مرورگر معروف است و نیازی به نصب بدافزار روی سیستم قربانی ندارد. مراحل آلوده شدن سیستم به این روش به این صورت است:

o    کاربر یک وبسایت یا تبلیغ حاوی اسکریپت کریپتوجکینگ را باز می‌کند.
o    اسکریپت در پس‌زمینه مرورگر کاربر اجرا می‌شود و از قدرت پردازش آن برای استخراج ارز دیجیتال استفاده کرده و آن را به کیف پول هکر ارسال می‌کند. در این روش نیز کاربر ممکن است از وجود اسکریپت بی‌اطلاع باشد یا اگر متوجه شود، نتواند آن را متوقف نماید.

انواع روش های کریپتوجکینگ

کریپتوجکینگ معمولا به دو روش انجام می‌شود که عبارت‌اند از نرم‌افزارهای مخرب یا از طریق وبسایت‌های مشکوک. در روش اول، هکرها با استفاده از روش‌هایی مانند ایمیل‌های هرزنامه، فایل‌های ضمیمه، لینک‌های مخرب و غیره، بدافزاری را بر روی کامپیوتر قربانی نصب می‌کنند که بدون اطلاع و اجازه آنها، شروع به استخراج ارزهای دیجیتال می‌کند. 

روش دوم با استفاده از اسکریپت‌های جاوا صورت می‌گیرد. در این روش وقتی که کاربران به وبسایت‌های آلوده مراجعه می‌کنند، از قدرت پردازش مرورگر آن‌ها برای استخراج استفاده می‌شود. این روش معمولاً تا زمانی که کاربر صفحه را نبندد، ادامه دارد.
کریپتوجکینگ یک تهدید جدی برای کاربران و سازمان‌های اینترنتی است و می‌تواند به آن‌ها آسیب‌های جدی وارد کند. برای مقابله با این تهدید، باید از روش‌های موثر و به‌روز برای شناسایی، جلوگیری و رفع آن استفاده کرد که این کار نیاز به همکاری و آگاهی همه ذی‌نفعان دارد.

نحوه تشخیص کریپتوجکینگ چگونه است؟

کریپتوجکینگ باعث کاهش عملکرد، افزایش مصرف برق، گرم شدن بیش از حد و آسیب به سیستم‌های قربانی می‌شود. برای تشخیص اینکه آیا کامپیوتر، لپ تاپ یا موبایل شما برای کریپتوجکینگ استفاده می‌شود، می‌توانید از روش‌های زیر استفاده کنید.

بررسی فعالیت پردازنده و حافظه

یکی از نشانه‌های کریپتوجکینگ، افزایش غیرطبیعی در استفاده از پردازنده و حافظه است. برای بررسی این موضوع می‌توانید از ابزارهای مدیریت وظیفه (Task Manager) در ویندوز، مانیتور فعالیت (Activity Monitor) در مک، یا مانیتور سیستم (System Monitor)  در لینوکس استفاده کنید. اگر پردازنده یا حافظه شما بدون دلیل مشخصی بالای ۵۰ درصد استفاده می‌شود، ممکن است برنامه‌ای در پس‌زمینه در حال استخراج ارز دیجیتال باشد. در این صورت باید برنامه‌های در حال اجرا را بررسی کرده و برنامه‌های مشکوک یا ناشناخته را ببندید یا حذف کنید.

بررسی ترافیک شبکه

یکی دیگر از نشانه‌های کریپتوجکینگ، افزایش غیرطبیعی در ترافیک شبکه است. برای بررسی این موضوع می‌توانید از ابزارهای مانیتورینگ شبکه مانند Wireshark یا Netstat استفاده کنید. اگر دستگاه شما به آدرس‌های ناشناخته یا مشکوکی متصل می‌شود، ممکن است برنامه‌ای در پس‌زمینه در حال ارسال یا دریافت داده‌های مربوط به استخراج ارز دیجیتال باشد. در این صورت نیز باید برنامه‌های در حال اجرا را بررسی کرده و برنامه‌های مشکوک یا ناشناخته را ببندید یا حذف کنید.

بررسی مصرف برق

افزایش غیرطبیعی در مصرف برق از دیگر نشانه‌های کریپتوجکینگ است. برای بررسی این موضوع از ابزارهای مانیتورینگ مصرف برق مانند Powercfg یا BatteryCare استفاده کنید و اگر متوجه مصرف بیش از حد برق شدید، این احتمال وجود دارد که برنامه‌ای در پس‌زمینه در حال استخراج ارز دیجیتال باشد. در اولین فرصت و خیلی سریع برنامه مشکوک را شناسایی کرده و آن را غیرفعال کنید. 

نمونه های معروف کریپتوجکینگ

از زمان پیدایش ارزهای دیجیتال، نمونه‌های بسیار زیاد کریپتوجکینگ شناسایی شده و در ادامه به سه مورد از معروف ترین نمونه‌های کریپتوجکینگ اشاره کرده و راه‌های مقابله با آن‌ها را به صورت خلاصه بیان می کنیم.

وانا ماین (WannaMine)

واناماین یک نوع بدافزار است که برای استخراج ارزهای دیجیتال مانند مونرو XMR از توان و قدرت پردازش سیستم‌های قربانی استفاده می‌کند. این بدافزار از روش‌های پیشرفته‌ای برای جاسوسی اطلاعات ورود و انتشار در شبکه استفاده می‌کند. این بدافزار از آسیب‌پذیری به نام ایترنال بلو (EternalBlue) که در سال 2017 توسط گروه هکری نوت پتیا (NotPetya) استفاده شده بود، برای سرقت اطلاعات و اجرا کد مخرب بر روی سیستم‌های دیگران بهره می‌گیرد.
برای جلوگیری از حملات واناماین باید اقدامات امنیتی زیر را انجام دهید:

•    سیستم عامل و نرم افزارهای خود را به‌روز رسانی کنید و آخرین پچ‌های امنیتی را نصب کنید. به خصوص پچ MS17-010 که آسیب پذیری ایترنال بلو را برطرف می‌کند.
•    نرم افزار آنتی ویروس قابل اعتماد نصب کنید و تنظیمات آن را به گونه‌ای انجام دهید که اسکریپت‌های مخرب را شناسایی و مسدود کند؛ مثلا نرم افزار سوفوس (Sophos) بدافزارهایی مانند واناماین را تشخیص داده و پاکسازی می‌کند.
•    رمز عبور قوی و منحصر به فرد برای حساب‌های کاربری خود ایجاد کرده و از ابزارهایی مانند میمی کتز (Mimikatz)  که رمز عبورها را از حافظه سیستم برمی‌دارند، دوری کنید.
•    از اجرای فایل‌ها یا پیوست‌های ایمیلی مشکوک خودداری کرده و از منابع معتبر برای دانلود نرم افزارها استفاده کنید. بسیاری از بدافزارهای کریپتوجکینگ از طریق ایمیل یا وب سایت‌های مخرب به سیستم‌ها نفوذ می‌کنند.

فیس ایکس وارم (FaceXWorm)

فیس ایکس وارم یک افزونه مخرب کروم است و با استفاده از پیام رسان فیسبوک به سیستم‌های دیگران نفوذ می‌کند و از منابع آن‌ها برای استخراج ارزهای دیجیتال استفاده می‌نماید. این افزونه همچنین می‌تواند اطلاعات کاربران را سرقت کند، تراکنش‌های مالی آنها را تغییر دهد و آن‌ها را به صفحات تقلبی هدایت کند. این افزونه از آسیب پذیری ایترنال بلو برای انتشار در شبکه استفاده می‌کند. برای جلوگیری از این تهدید باید از نصب افزونه‌های ناشناخته از منابع نامعتبر خودداری کنید و نرم افزار آنتی ویروس خود را به‌روز نگه دارید.

بلک تی (Black-T)

بلک تی یک نوع بدافزار است که برای استخراج ارزهای دیجیتال مانند مونرو از منابع سیستم‌های دیگران استفاده می‌کند. این بدافزار توسط گروه سایبری تیم‌تی‌ان‌تی (TeamTNT) ساخته شده که برای نفوذ به سیستم‌های ابری و سرقت اطلاعات ورود آمازون وب سرویس (AWS) به کار گرفته شده است. بلک تی نسبت به نسخه‌های قبلی بدافزارهای تیم‌تی‌ان‌تی، توانایی‌های جدید و پیشرفته‌تری دارد. این توانایی‌ها عبارتند از:

•    تشخیص و متوقف کردن بدافزارهای رقیب که برای استخراج ارز رقابت می‌کنند: بلک‌تی بدافزارهایی مانند کراکس ورم (Crux worm)، ان‌تی‌پی‌دی ماینر (ntpd miner) و ردیس‌بکاپ ماینر (redis-backup miner) را شناسایی و حذف می‌کند.
•    استفاده از ابزارهای رمزگشایی حافظه مانند میمی‌پی (mimipy) و میمی‌پنگوئن (mimipenguin) برای سرقت رمز عبورهای ذخیره شده در سیستم قربانی: بلک‌تی می‌تواند رمز عبورهایی که با میمی‌پنگوئن شناسایی می‌شوند را به یک سرور کنترل و فرمان تیم‌تی‌ان‌تی ارسال کند.
•    استفاده از سه ابزار اسکن شبکه مختلف برای شناسایی های داکر (Docker) که در شبکه محلی یا عمومی سیستم قربانی وجود دارند: بلک‌تی از ابزارهای ماسکن (masscan)، پی‌ان‌اسکن (pnscan) و زگرب (zgrab) برای این منظور استفاده می‌کند.

روش های جلوگیری از کریپتوجکینگ

•    برای جلوگیری از کریپتوجکینگ باید از برنامه‌های امنیتی، افزونه‌های مسدودکننده، آموزش کاربران و بروزرسانی سیستم‌ها استفاده کرد. برنامه‌های امنیتی مانند آنتی‌ویروس‌ها و آنتی‌مالورها می‌توانند بدافزارهای کریپتوجکینگ را شناسایی و حذف کنند. افزونه‌های مسدودکننده مانند NoCoin و MinerBlock می‌توانند اسکریپت‌های کریپتوجکینگ را در وبسایت‌ها شناسایی و مسدود نمایند. 
•    آموزش کاربران نیز می‌تواند به آنها کمک کند تا از روش‌های امن برای مرور اینترنت، دانلود فایل‌ها، باز کردن ایمیل‌ها و لینک‌ها استفاده کنند و نشانه‌های کریپتوجکینگ را تشخیص دهند. 
•    بروزرسانی سیستم‌ها می‌تواند در رفع آسیب‌پذیری‌ها و افزایش امنیت کمک کننده باشد.
•    ناگفته نماند که در موبایل هم کریپتوجکینگ می‌تواند رخ دهد. برخی از اپلیکیشن‌های موبایل ممکن است بدون اطلاع یا اجازه کاربران، از قدرت پردازش گوشی‌ تلفن همراه برای استخراج ارزهای دیجیتال استفاده کنند. این کار می‌تواند باعث کاهش عمر باتری، افزایش دما، کند شدن عملکرد و مصرف بیش از حد اینترنت شود. برای جلوگیری از کریپتوجکینگ در موبایل، باید از اپلیکیشن‌های معتبر و مورد اعتماد استفاده کرد و از نصب اپلیکیشن‌های ناشناخته یا مشکوک خودداری نمود. همچنین، باید از ابزارهای امنیتی مانند آنتی‌ویروس‌ها و آنتی‌مالورها برای شناسایی و حذف اپلیکیشن‌های مخرب استفاده شود.

با آگاهی از نحوه برخورد با کریپتوچکنیگ، جلوی استخراج غیرقانونی را بگیرید!

کریپتوجکینگ نوعی حمله هکری مخرب است که در آن از سیستم‌های کامپیوتری کاربران قربانی برای استخراج ارزهای دیجیتال استفاده می‌شود. این کار معمولا از دو روش آلوده شدن به بدافزار و یا اسکریپت‌های جاوا صورت می‌گیرد. برای جلوگیری از این حملات هکری اقدامات و روش‌های مختلفی وجود دارد که در این مقاله به آن‌ها پرداختیم.

 کریپتوجکینگ با کند کردن سیستم کاربران، افزایش مصرف برق، گرم شدن بیش از حد و غیره باعث آسیب به سیستم‌های کاربران آلوده می‌شود. همچنین این حمله هکری باعث افزایش مصرف ترافیک شبکه نیز می‌شود. برای جلوگیری از حملات کریپتوجکیگ راه‌حل‌های مختلفی ارائه شده که در این مقاله بررسی شد. چنانچه اطلاعات مفیدی در حوزه کریپتوجکینگ به دست آوردید، برای خواندن بهترین و تخصصی‌ترین مقالات حوزه کریپتوکارنسی به زبان ساده می‌توانید به وبلاک کریپتوباز مراجعه کرده و دانش خود را در زمینه حوزه ارزهای دیجیتال افزایش دهید.