محققان امنیتی درباره مجموعه‌ای از حملات بسیار هدفمند که برای به خطر انداختن شبکه‌های قربانیان از طریق بهره‌برداری‌های روز صفر Google Chrome و Microsoft Windows هشدار داده اند.

تصور می‌شود مهاجمان ابتدا از باگ اجرای کد از راه دور CVE-۲۰۲۱-۲۱۲۲۴ در کروم که به تازگی پچ شده است، سواستفاده کرده اند.

کسپرسکی توضیح داده است که: "این آسیب‌پذیری مربوط به اشکال Type Mismatch در V۸ که یک موتور جاوا اسکریپت مورد استفاده توسط مرورگر‌های وب کروم و کرومیوم می‌باشد، بوده است. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا از فرایند رندر کروم سواستفاده کنند. این دسته، شامل فرایند‌هایی هستند که مسئول بررسی آنچه در تب‌های کاربران اتفاق می‌افتد، می‌باشند".

به نقل اینفو سکیوریتی مگزین، مرحله دوم افزایش سطح بهره‌برداری با استفاده از اختیارات مربوط به دو آسیب‌پذیری جداگانه در هسته سیستم عامل مایکروسافت ویندوز بود. مورد اول، CVE-۲۰۲۱-۳۱۹۵۵ که می‌تواند منجر به افشای اطلاعات حساس هسته شود؛ و مورد دوم، CVE-۲۰۲۱-۳۱۹۵۶ که یک اشکال سرریز بافر مبتنی بر heap می‌باشد.

کسپرسکی ادعا کرده است که مهاجمان CVE-۲۰۲۱-۳۱۹۵۶ را همراه با Windows Notification Facility (WNF) برای ایجاد حافظه دلخواه خواندن/نوشتن موارد اولیه به کار گرفته و ماژول‌های بدافزار را همراه با امتیازات سیستم اجرا می‌کنند.

هنگامی که آن‌ها با بهره‌گیری از این سه نقص جایگاه خود را در شبکه‌های قربانی مستحکم کردند، ماژول‌های استیجر یک دراپر بدافزار مخرب پیچیده‌تر را از یک سرور از راه دور اجرا می‌کنند، که به متعاقب آن خود را بر روی فایل‌های اجرایی نصب می‌کند تا به عنوان جزئی از فایل‌های قانونی ویندوز شناخته شود.

کسپرسکی گفته است که یکی از این موارد یک ماژول shell از راه دور است که برای بارگیری و بارگذاری فایل‌ها، ایجاد پروسس‌ها، حفظ خود در حالت خوابیده برای دراز مدت و حذف خود از سیستم آلوده طراحی شده است.

در حالی که گوگل قبلاً این نقص کروم را برطرف کرده است، مایکروسافت نیز هر دو آسیب‌پذیری را در بروزرسانی امنیتی سه شنبه هفته گذشته پچ کرده است.

تیم تحقیقاتی هنوز حملات را با هیچ عامل تهدید شناخته شده‌ای مرتبط ندانسته اند و از این رو گروهی که در پس این حملات بوده اند را، "PuzzleMaker" مینامند.

بوریس لارین، محقق ارشد امنیت در تیم تحقیق و تجزیه و تحلیل جهانی کسپرسکی (GReAT) اینگونه استدلال کرد که: "به طور کلی، در اواخر سال، ما شاهد چندین موج از فعالیت‌های تهدید آمیز با سواستفاده‌های روز صفر بوده‌ایم. این یک زنگ هشدار برای ما است که روز صفر همچنان موثرترین روش برای آلوده کردن اهداف مدنظر مجرمان سایبری است".

وی افزود: "اکنون که این آسیب‌پذیری‌ها برای عموم شناخته شده اند، ممکن است که شاهد افزایش استفاده از آن‌ها در حملات توسط این عامل و سایر عوامل تهدید و خطر آفرین باشیم. این بدان معنی است که برای کاربران بسیار مهم است که جدیدترین و بروزترین پچ‌ها را از مایکروسافت در اسرع وقت بارگیری و دریافت نمایند".

امروزه در معرض خطر قرار گرفتن سازمان ها از نظر امنیت سایبری، موضوعی دور از انتظار نیست اما یک مطالعه جدید منتشر شده توسط موسسه Ponemon نشان داد که میزان سازمان هایی که در معرض خطر قرار دارند، کاملا هشدار دهنده است.
این تحقیق که در سال 2018 در مورد وضعیت امنیتی Endpoint ها انجام شده است، از افزایش تعداد شرکت هایی که در طی 12 ماه گذشته با حملات ناشی از اعتماد بیش از حد به Endpoint هامواجه شده اند، خبر میدهد.
نظرسنجی تحت حمایت Barkly شامل 660 متخصص فناوری اطلاعات و امنیت بود. همه شرکت کنندگان حملات Zero day و ناگهانی را به عنوان مهمترین و نگران کننده ترین تهدیدها میدانند واز بین همه شرکت کنندگان، نزدیک به دو سوم سازمان ها در 12 ماه گذشته به خطر افتاده اند.
در نتیجه 70 درصد از شرکت کنندگان گفتند که در 12 ماه گذشته راه حل های آنتی ویروس را جایگزین کرده اند و یا قصد جایگزینی در 12 ماه آینده را دارند. برای شناسایی بیشترین چالش هایی که در مورد شکاف های امنیتی وجود دارد، پاسخ دهندگان به بررسی حجم زیاد False Positive ها، حمایت ناکافی و پیچیدگی بالای مدیریتی به عنوان موارد نگران کننده در مورد استفاده از Endpoint ها اشاره کردند.
علاوه بر این، چهار نفر از پنج شرکت کننده گفتند که تلاش می کنند تا از Patch ها استفاده کنند و به طور متوسط ​​تاخیر 102 روزه برای Patch های مرتبط با Endpoint ها گزارش شده است. با وجود شیوع حملات Zero Day، این بررسی نشان داد که 43 درصد از پاسخ دهندگان گفتند که زمان بیشتری برای تست و تست شدن در نظر می گیرند.
برای آن دسته از شرکت هایی که در 12 ماه گذشته از یک حمله مرتبط با Endpointرنج می برند، هزینه حملات نیز افزایش یافته است. شرکت هایی که گزارش دادند حملات مرتبط با Endpoint ها که به درستی تشخیص داده نشده اند در سال گذشته افزایش 42 درصدی را داشته اند، که میانگین هزینه یک حمله را برای یک سازمان به 7،120،000 دلار در سال 2018 رساند. این مبلغ به 440 دلار برای هر Endpoint نصب شده بر روی هر کلاینت می رسد و قیمت آن تقریبا دوبرابر شده است که برای کسب و کار کوچک تا متوسط ​​تقریبا ​​763 دلار هزینه در بر داشته است.
لری پونونون، رئیس و بنیانگذار موسسه Ponemon، در یک نشست مطبوعاتی گفت: "این افزایش حملات موفقیت آمیز وجود یک شکاف عمیق در امنیت سازمان ها را نشان میدهد و راه حل ها و فرآیندهای موجود جوابگو نبوده است." سازمان ها بر این باورند که آنتی ویروس های فعلی تنها 43٪ از حملات را مسدود می کند و این نشان از یک نیاز برای مقابله و جلوگیری از حملات Zerodayاست و از طرفی عدم بروزرسانی دائمی سرویس های سازمانی نیز مزید بر علت ناامن بودن شبکه سازمان ها شده است.

یک گروه مهاجم با انگیزه مالی، با بهره برداری از آسیب پذیری روز-صفر در دستگاه های VPN SonicWall، پیش از آنکه توسط این شرکت رفع مشکل شود، نسبت به اجرای باج افزاری جدیدی با نام FIVEHANDS اقدام نمودند.

به گزارش هکرنیوز، این گروه که توسط شرکت امنیت سایبری ماندیانت از آن با عنوان UNC2447 یاد شده است، از نقص "خنثی سازی فرمان SQL نامناسب" در محصول SSL-VPN SMA100 (CVE-2021-20016 ، CVSS score 9.8) استفاده کردند که به مهاجم ناشناس اجازه می دهد تا از راه دور نسبت به اجرای کد اقدام کند.

محققان ماندیانت گفته اند: "UNC2447 ابتدا با استفاده از باج افزار FIVEHANDS از طریق تهدید به انتشار عمومی اطلاعات در رسانه ها و ارائه داده های قربانیان برای فروش در فروم های هکرها، به شدت تحت فشار گذاشته و با اخاذی از قربانیان، کسب درآمد میکند. مشاهده شده است كه UNC2447 سازمانهایی را در اروپا و آمریكای شمالی هدف قرار داده و به طور مداوم از قابلیتهای پیشرفته برای جلوگیری از شناسایی و به حداقل رساندن شواهد حضور خود برای بررسی های بعد از عملیات نفوذ، استفاده می كند".

CVE-2021-20016 همان آسیب پذیری روز-صفر است که به گفته شرکت مستقر در سن خوزه، عوامل تهدید پیچیده، اوایل سال جاری برای انجام "حمله هماهنگ به سیستم های داخلی آن"، از این آسیب پذیری بهره برداری کردند. در 22 ماه ژانویه، خبرگزاری هکرنیوز به طور انحصاری فاش کرد که SonicWall با بهره برداری از آسیب پذیری های احتمالی روز-صفر در دستگاه های سری SMA 100 مورد نفوذ قرار گرفته است.

سوءاستفاده موفقیت آمیز از این نقص به مهاجم امکان دسترسی به اطلاعات ورود به سیستم و همچنین اطلاعات session را می دهد که می تواند از آنها برای ورود به یک دستگاه آسیب پذیر و پچ نشده سری SMA 100 استفاده کند.

طبق گفته های شرکت زیرمجموعه FireEye، گفته می شود که این نفوذها در ژانویه و فوریه 2021 اتفاق افتاده است و عامل تهدید از بدافزاری به نام SombRAT برای ماندگاری باج افزار FIVEHANDS استفاده کرده است. شایان ذکر است که SombRAT در نوامبر سال 2020 توسط محققان بلکبری و همراه با کارزاری به نام CostaRicto که توسط یک گروه هکر مزدور انجام میپذیرفت، کشف شد.

حملات UNC2447 حاوی آلودگی های باج افزاری است که برای اولین بار در ماه اکتبر سال 2020 در حملات صورت گرفته، مشاهده شده است. در این حملات، قبل از اینکه باج افزار را در ژانویه سال 2021 با FIVEHANDS جایگزین کند، ابتدا اهداف را با باج افزار HelloKitty تحت تاثیر قرار میدهد. اتفاقاً هر دو نوع باج افزار که در C++ نوشته شده اند، نسخه بازنویسی شده باج افزار دیگری به نام DeathRansom هستند.

محققان گفته اند: "بر اساس مشاهدات فنی و زمانی گسترش HelloKitty و FIVEHANDS، HelloKitty ممکن است توسط یک برنامه به طور کلی مرتبط و وابسته، از ماه مه 2020 تا ماه دسامبر 2020 و FIVEHANDS از حدود ژانویه 2021 مورد استفاده قرار گرفته باشد".

 

FIVEHANDS بر خلاف DeathRansom و HelloKitty، با استفاده از dropper مختص حافظه و دیگر ویژگی های اضافی که به آن اجازه می دهد شرایط دستورات را بپذیرد و با استفاده از Windows Restart Manager برای بستن فایل هایی که به تازگی استفاده شده اند نسبت به رمزگذاری آنها اقدام نماید، عمل میکند.

کمتر از دو هفته پس از اعلام فایرآی، سه آسیب پذیری ناشناخته قبلی در نرم افزار امنیتی ایمیل SonicWall، به طور فعال برای استقرار web shell برای دسترسی backdoor به دستگاه های قربانی مورد سوءاستفاده قرار گرفته اند. FireEye این فعالیت مخرب را با عنوان UNC2682 شناسایی و ردیابی می کند.

 

 

آژانس امنیت سایبری و زیرساخت های امنیتی ایالات متحده (CISA) ، وزارت امنیت داخلی (DHS) و دفتر تحقیقات فدرال (FBI) روز دوشنبه یک گزارش مشترک جدید را به عنوان بخشی از آخرین اقدامات خود برای افشای تاکتیک ها، تکنیک ها و روش هایی (TTP) که توسط سرویس اطلاعات برون مرزی روسیه (SVR) در حملات خود علیه ایالات متحده و نهادهای خارجی از آنها بهره برده شده است، منتشر کردند.

آژانس های اطلاعاتی اعلام کردند با بکارگیری "نفوذ پنهانی تجاری در داخل شبکه های در معرض خطر، فعالیت سرویس اطلاعات برون مرزی روسیه (که شامل زنجیره تأمین مخاطرات اخیر برای SolarWinds Orion میشود) در درجه اول شبکه های دولتی ، اتاق فکر و سازمان های تجزیه و تحلیل سیاسی و شرکت های فناوری اطلاعات را هدف قرار می دهد و تلاش می کند تا اطلاعات امنیتی را جمع آوری کند".

عاملین سایبری همچنین تحت مانیکرهای مختلف از جمله Advanced Persistent Threat 29 (APT29) ،Dukes ، CozyBear و Yttrium ردیابی می شود. این پیشرفت در حالی صورت می گیرد که ایالات متحده، روسیه را تحریم کرده و هک SolarWinds و کمپین جاسوسی اینترنتی مرتبط را به طور رسمی به عوامل دولتی که برای سرویس اطلاعات برون مرزی روسیه کار می کنند مرتبط و متصل دانسته است.

APT29، از زمان آغاز تهدیدات در سال 2013، با تعدادی از حملات هماهنگ شده با هدف دستیابی به شبکه های قربانیان، جابجایی بدون امکان شناسایی در محیط های کاربری فرد قربانی و استخراج اطلاعات حساس پیوند خورده است. اما در یک تغییر محسوس در تاکتیک ها در سال 2018، این عامل از استقرار بدافزار در شبکه های هدف به سمت سرویس های ایمیل عظیم مبتنی بر فضای ابری، و این واقعیت از زمان حملات SolarWinds عیان شد که در آن عامل حملات، باینری های Orion را به عنوان یک بردار نفوذ برای سوءاستفاده از محیط های Microsoft Office 365، اهرم کرده است.

گفته می شود این شباهت در آلودگی های آینده تجارت ها، با سایر حملات مورد حمایت سرویس اطلاعات برون مرزی روسیه، از جمله در نحوه انتقال جانبی دشمن از طریق شبکه ها برای دسترسی به حساب های ایمیل، علی رغم اقدامی ویژه در روش استفاده شده برای به دست آوردن پایگاه اولیه، نقش بسزایی در نسبت دادن کمپین SolarWinds به سرویس اطلاعاتی روسیه داشته است.

آژانس خاطرنشان کرد: "در هدف قرار دادن منابع ابری احتمالاً بهره بردن از حساب های کاربری به خطر افتاده یا تنظیمات نادرست سیستم برای اختلاط با ترافیک عادی یا کنترل نشده در محیطی که سازمان های قربانی از آن به خوبی دفاع، نظارت یا مراقبت نمی کنند، احتمال شناسایی را کاهش می دهد".

از جمله برخی دیگر از تاکتیک های مورد استفاده توسط APT29 به پخش کردن رمز عبور (مشاهده شده در هنگام به خطر افتادن یک شبکه بزرگ بدون نام در سال 2018)، بهره برداری از نقص روز صفر در برابر دستگاه های شبکه خصوصی مجازی (مانند CVE-2019-19781) برای دستیابی به دسترسی شبکه و استقرار بدافزار Golang به نام WELLMESS برای سرقت مالکیت معنوی از چندین سازمان درگیر در ساخت واکسن COVID-19، میتوان اشاره نمود.

علاوه بر CVE-2019-19781، دیده شده است که عامل تهدید با استفاده از CVE-2018-13379 ، CVE-2019-9670 ، CVE-2019-11510 و CVE-2020-4006 پایگاه اولیه ای در دستگاه ها و شبکه های قربانی را بدست آورده است.

این گزارش مشترک می افزاید: "دفتر تحقیقات فدرال و وزارت امنیت داخلی به ارائه دهندگان خدمات توصیه می کنند سیستم های تأیید اعتبار و تأیید کاربر خود را برای جلوگیری از سوءاستفاده از خدمات خود تقویت و بروزرسانی کنند". از طرفی دیگر همچنین از مشاغل خواسته شده است شبکه های خود را در برابر احتمال به خطر افتادن با نرم افزارهای مورد اعتماد عموم، محافظت کنند.

به گزارش سایت دهکرنیوز، یک محقق امنیتی یک آسیب پذیری روزصفر (Zero-Day) را بصورت عمومی منتشر کرد که تمامی نسخه ای سیستم عامل ویندوز (حتی نسخه ای سرور) به آن آلوده هستند.

این افشاگری پس از اتمام مهلت 120 روزه به شرکت مایکروسافت برای افشاء این آسیب پذیری و قبول مسئولیت انجام شد.

این بآسیب پذیری که توسط Lucas Leong از تیم تحقیقاتی Trend Micro Security کشف شده است، یک آسیب پذیری روزصفر است که در موتور پایگاه داده مایکروسافت جت (Microsoft Jet Database Engine) قرار دارد و به مهاجم اجازه میدهد که کد مخرب را از راه دور بر روی هر سیستم دارای سیستم عامل ویندوز اجرا نماید.

موتور پایگاه داده مایکروسافت جت یا به زبان سادهJET (Joint Engine Technology)، موتور پایگاه داده یکپارچه در چندین محصول مایکروسافت است، از جمله Microsoft Access و Visual Basic.

با توجه به توصیه های منتشر شده توسط Zero Day Initiative (ZDI)، این آسیب پذیری ناشی از مشکلی در مدیریت شاخص ها (indexes) در موتور پایگاه داده جت است که اگر با موفقیت مورد سوء استفاده قرار گیرد، می تواند موجب نوشتن بر روی حافظه خارجی (out-out-bounds memory) گردیده و درنتیجه کد از راه دور اجرا گردد.

روش کار به این صورت است که مهاجم باید کاربر (هدف) را به باز کردن یک فایل پایگاه داده ویژه JET متقاعد کند تا مهاجم بتواند با استفاده از این آسیب پذیری، کدهای مخرب را از راه دور بر روی سیستم کاربر(هدف) اجرا نماید.

به گفته محققان ZDI، این آسیب پذیری در همه نسخه های ویندوز پشتیبانی شده از جمله ویندوز 10، ویندوز 8.1، ویندوز 7 و ویندوز سرور نسخه 2008 تا 2016 وجود دارد.

تیم ZDI این آسیب پذیری را در تاریخ 8 مه به مایکروسافت گزارش کرد و غول تکنولوژی این خطا را در 14 مه تایید کرد اما موفق به پاکسازی این آسیب پذیری نشد و قرارشد در یک مهلت 120 روز (4 ماه) به روز رسانی را منتشر کند و پس از این مدت تیم ZDI این آسیب پذیری را با جزییات منتشر کرد.
کدهای Exploit بهره برداری از این آسیب پذیری نیز توسط صفحه GitHub تیم Trend Micro منتشر شده است.

مایکروسافت در حال کار بر روی یک پچ برای رفع این آسیب پذیری است و از آنجایی که در پچ های ماه سپتامبر عرضه نشده است، باید منتظر باشیم تا مایکروسافت در ماه اکتبر (یعنی اواسط مهرماه) این پچ را ارئه نماید.

تیم Trend Micro به همه کاربران آسیب دیده توصیه می کند تا زمان ارائه پچ توسط مایکروسافت، محدودیت هایی را بر روی برنامه هایی که با JET در تعامل هستند، اعمال نمایند .

به گزارش سایت tenforums شرکت مایکروسافت سال گذشته اعلام کرده بود که به منظور بهینه سازی فرایند اجرای کدها در مرورگر اج از ACG استفاده خواهد کرد. ACG که مخفف Arbitrary Code Guard است از اصلاح صفحات کد و اجرای کدهای مخرب در حافظه جلوگیری می کند. این در حالی است که بیشتر مرورگرهای مدرن بر کامپایلرهای JIT متکی هستند و تطبیق آنها با ACG فرایندی پیچیده است.

مایکروسافت برای اطمینان از سازگاری کامپایلر JIT  با مرورگر مجهز به ACG ، کامپایل JIT را در فرایندی جداگانه صورت می دهد که طی آن تابع VirtualAllocEx برای اختصاص حافظه فراخوانی می شود. فرایند JIT  مسئولیت کامپایل جاوا اسکریپت به کد های بومی و نگاشت آنها به فرایند محتوای درخواستی را بر عهده دارد، به عبارت دیگر فرایند محتوا اجازه نگاشت یا اصلاح صفحات کد JIT خودش را ندارد.

مایکروسافت اج

با این حال محققان امنیتی پروژه صفر در فرایند نوشتن داده های اجرایی در فرایند محتوا آسیب پذیری هایی را پیدا کرده اند. بر این اساس فرایند محتوا می تواند آدرسی را که JIT در نظر می گیرد تشخیص داده و کدهای قابل اجرای دیگری را در آن قرار دهد. گوگل وجود این آسیب پذیری را در آبان ماه به مایکروسافت اعلام کرده و پیش از انتشار عمومی 90 روز به این شرکت فرصت داده تا آن را اصلاح کند.

«مرکز پاسخگویی امنیتی مایکروسافت»،  MSRCتاکید کرده مشکل مایکروسافت اج از آنچه در ابتدا به نظر رسیده پیچیده تر بوده و به همین خاطر گوگل 14 روز دیگر به مهلت تعیین شده اضافه کرده است. با این حال تیم امنیتی مایکروسافت در این چهارده روز نیز به نتیجه مطلوبی دست پیدا نکرده و به همین خاطر گوگل این باگ را به صورت عمومی اعلام کرده است.

کمپانی ردموندی مدعی شده که تا 22 اسفند این مشکل را حل کرده و پچ های آن را در قالب یک بسته امنیتی منتشر خواهد کرد.

دیروز (1397/03/08) متخصصین کمپانی TelSPACE مستقر در ژوهانسبورگ آفریقای جنوبی، یک آسیب پذیری خطرناک را ثبت کردند که به مهاجمان اجاز میدهد کد خود را از راه دور در سیستم عامل ویندوز اجرا نمایند.

این آسیب پذیری که با رتبه 6.8 و بنام (0Day) Microsoft Windows JScript Error Object Use-After-Free Remote Code Execution Vulnerability در اینجابه ثبت رسیده است به مهاجمان اجازه میدهد که از راه دور، کد دلخواه خود را در ویندوز های آسیب پذیر مایکروسافت اجرا نمایند.

البته این آسیب پذیری به تنهایی عمل نکرده و نیازمند تعال با کاربر است بگونه ای که کاربر حتما باید صفحه آلوده شده را مشاهده نموده یا یک فایل آلوده را باز نماید.این نقص خاص در Error Object از JScript وجود دارد و مهاجم با انجام اقداماتی در اسکریپت میتواند پس از آزاد شدن یک Pointer ، مجددا آنرا بکار گرفته و برای اجرای کد خود از ان استفاده کند.این آسیب پذیری به طور عمومی و بدون Patch مطابق با مهلت 120 روزه افشا شده است.

01/23/2018 - ZDI sent the vulnerability report to the vendor
01/23/2018 - The vendor acknowledged and provided a case number
04/23/2018 - The vendor replied that they were having difficulty reproducing the issue report without POC
04/24/2018 - ZDI confirmed the POC was sent with the original and sent it again
05/01/2018 - The vendor acknowledged receipt of the POC
05/08/2018 - The vendor requested an extension
05/18/2018 - ZDI replied "We have verified that we sent the POC with the original. The report will 0-day on May 29."

در حال حاضر، با توجه به ماهیت آسیب پذیری ، تنها راهبرد برای کاهش قابل توجه آسیب های این آسیب پذیری، این است که تنها فایل های قابل اعتماد را استفاده نموده و از کار کردن با وبسایت ها و برنامه های غیرمطمئن خودداری گردد.

به گزارش سایت scmagazine ، ارزش ارزهای دیجیتالی رمزگذاری شده، به تازگی با نوسان‌های شدیدی همراه بوده و حالا روندی تا حدودی صعودی به خود گرفته است. در این بین اما به نظر می‌رسد مجرمان سایبری از اینکه می‌توانند با استفاده از سخت‌افزارهای مختلف قربانیان به استخراج این ارزها دست بزنند راضی و خشنود به نظر می‌رسند. این امر معمولاً در قالب وجود پلاگین‌های ماینینگ این ارزها که روی وب‌سایت‌های مختلف قرار گرفته‌اند عملی می‌شود. این در حالی است که به تازگی بدافزار اندرویدی جدیدی در حال گسترش است که از سخت‌افزار گوشی هوشمند شما برای استخراج این ارزها استفاده می‌کند.

این بدافزار که با عنوان ADB.Miner شناخته می‌شود اولین‌بار توسط شرکت امنیتی چینی Qihoo 360 Netlab رصد شد. محققان گزارش کرده‌اند این بدافزار، توانایی انتقال به دستگاه‌های دیگر را از طریق شبکه وای‌فای داراست. پیشوند ADB در نام این بدافزار در واقع به روشی که برای انتشار این کد مخرب استفاده شده یعنی Android Debug Bridge اشاره دارد. این کد مخرب در واقع ابزاری برای توسعه‌دهندگان است که در اندروید ادغام شده و امکان برقراری ارتباط با یک دستگاه را از طریق رابط کاربری خط فرمان فراهم می‌کند. در این مورد خاص، توسعه‌دهندگان بدافزار یادشده از این ابزار، علیه کاربران استفاده کرده‌اند.

ADB.Miner از طریق اپلیکیشن‌های آلوده یا همان فایل‌های APK که در فروشگاه‌های نرم‌افزاری غیررسمی شاهد هستیم منتشر می‌شود. Qihoo 360 Netlab مدعی شده این بدافزار در تعدادی از نرم‌افزارهایی مخفی شده که مدعی هستند کاربر را در مقابل ویروس‌ها محافظت می‌کنند. در صورت آلودگی دستگاه اندرویدی شما به این بدافزار، ADB.Miner از توان پردازشی دستگاه شما برای استخراج ارز دیجیتالی رمزگذاری شده Monero و انتقال آن به کیف پول دیجیتالی توسعه دهنده این بدافزار استفاده می‌کند. امری که به ایجاد وقفه‌های پی در پی در عملکرد گوشی هوشمند شما و همچنین خالی شدن سریع باتری منجر خواهد شد.

فاز بعدی حمله، چشمگیرتر خواهد بود. در این بخش، ADB.Miner از کد بدافزار Mirai IOT که در سال گذشته میلادی شاهد گسترش آن بودیم استفاده می‌کند. به این ترتیب، بدافزار به اسکن شبکه‌های وای‌فای پرداخته تا با استفاده از حفره‌های امنیتی موجود در دستگاه‌ها، فرایند آلوده‌سازی را از طریق ADB انجام دهد. این در حالی است که ADB به طور پیش‌فرض روی تمامی دستگاه‌های اندرویدی غیرفعال شده است و به فرایندی چند مرحله‌ای برای فعال‌سازی آن نیاز خواهد بود. دستگاه‌ قربانی باید به نحوی پیکربندی شوند که ADB روی پورت ۵۵۵۵ برای آن‌ها فعال شده باشد. امری که به فرایند پیکربندی جداگانه‌ای پس از فعال‌سازی ADB نیاز خواهد داشت. با آلوده کردن دستگاه قربانی مورد نظر، توسعه‌دهندگان بدافزار می‌توانند مجموعه‌ای از دستگاه‌های دیگر را هم برای تولید ارزهای دیجیتالی رمزگذاری شده از طریق فرایند ماینینگ، آلوده کنند.

Qihoo 360 Netlab مدعی شده تعداد دستگاه‌های اندرویدی که تا کنون آلوده شده‌اند به هزاران مورد می‌رسد که اکثر آن‌ها متعلق به کاربران چین و کره جنوبی است.