هشدار درباره گسترش کاوشگر ارز دیجیتالی

این کد اکسپلویت مربوط به یکی از ابزارهای نفوذ گروه هک ShadowBrokers است که در ماه آوریل سال گذشته در اختیار عموم قرار گرفت. این کد پس از انتشار عمومی، سال گذشته در حمله باج‌افزار BadRabbit مورد استفاده قرار گرفت. از سوی دیگر در اوایل سال جاری، EternalRomance و دو اکسپلویت دیگر (EternalSynergy و EternalChampion) در چارچوب Metasploit قرار گرفتند. بنابراین این اکسپلویت‌ها می‌توانند تمامی نسخه‌های ویندوز شامل ویندوز ۲۰۰۰ به بعد را هدف قرار دهند. بدافزار PyRoMine از طریق یک فایل Zip منتشر می‌شود که حاوی یک فایل اجرایی است. این کاوشگر از نسخه ویرایش شده EternalRomance استفاده می‌کند. زمانی که PyRoMine اجرا شود، آدرس‌های IP محلی را استخراج کرده و آلودگی خود را به سایر زیرشبکه‌ها گسترش دهد. 

نحوه عملکرد این بدافزار به این صورت است که پس از نفوذ این بدافزار به سیستم، یک اسکریپت VB در سیستم دانلود می‌شود که عملیات کاوش ارز را انجام می‌دهد. این اسکریپت یک حساب کاربری مدیریتی در سیستم ایجاد می‌کند تا از طریق آن پروتکل Remote Desktop را فعال کند و یک قانون فایروال برای باز کردن ترافیک پورت ۳۳۸۹ ایجاد کند. همچنین این اسکریپت سرویس به روزرسانی ویندوز را غیرفعال کرده و با اعمال سایر تنظیمات در سرویس مدیریت از راه دور ویندوز، سیستم را برای حملات آتی آماده می‌کند.PyRoMine اولین کاوشگر ارزی نیست که از اکسپلویت‌های NSA برای گسترش استفاده می‌کند، اما این بدافزار سیستم را به‌گونه‌ای پیکربندی می‌کند تا در معرض حملات بیشتر و پیچیده‌تری قرار گیرد.  اکسپلویت‌های NSA قبلا از سوی NotPetya، WannaCry، Adylkuzz و Retefe به‌کار رفته‌اند، ولی استفاده از این اکسپلویت‌ها از سوی بدافزارهایی نظیر Smominru، WannaMine و PyRoMine نشان می‌دهد که استفاده از این اکسپلویت‌ها از سوی کاوشگران ارز نیز مورد توجه قرار گرفته است. برای جلوگیری از آلودگی احتمالی، پیشنهاد می‌شود تا هرچه سریع‌تر سیستم‌های ویندوزی خود را به‌روزرسانی کنید.