This post is also available in:
English (אנגלית)
איום סייבר חדש ומתמשך, שנקרא Tangerine Turkey, זוהה כשחקן מרכזי בקמפיין עולמי נרחב לכריית קריפטו. תולעת Visual Basic Script (VBS) זו מסוגלת להתפשט דרך כונני USB ולפרוס בחשאי תוכנות זדוניות לכרייה כדי ליצור בחשאי מטבעות קריפטוגרפיים עבור עברייני סייבר.
Tangerine Turkey פועלת על ידי ניצול טכניקה הנקראת DLL hijacking. היא מתמרנת את קובץ printui.exe הלגיטימי, המשמש לעתים קרובות את מערכות Windows, כדי להריץ את הנוזקה. שיטה זו נחשפה על ידי חברת אבטחת הסייבר Red Canary, שזיהתה לראשונה את התולעת בנובמבר 2024. על פי הניתוח של Red Canary, התוכנה הזדונית הזו היא חלק ממבצע רחב יותר המכונה Universal Mining, מבצע כריית קריפטו בקנה מידה גדול שכבר השפיע על יותר מ-270,000 מכשירים ב-135 מדינות.
התוכנה הזדונית שנפרסת על ידי Tangerine Turkey משתמשת בתוכנת כרייה כמו XMRig ו-Zephyr Miner. XMRig משמש בדרך כלל לכריית Monero, מטבע פופולרי ממוקד פרטיות, בעוד ש-Zephyr Miner מתמקד במיוחד ב-Zephyr, סוג אחר של מטבע. כלים אלה פועלים בשקט ברקע של מערכות שנפרצו, ומשתמשים בכוח העיבוד של המחשב כדי לכרות מטבעות קריפטו עבור התוקפים ללא מודעות המשתמש.
התולעת מתפשטת על-ידי הדבקת כונני USB, ומריצה סקריפטים זדוניים שמשפיעים על קובצי המערכת. מומחים ממליצים לשים לב לסממנים של הדבקה, הכוללים הזזה של הקובץ printui.exe והופעה של תיקיות וסקריפטים לא מוכרים.
היקף קמפיין Universal Mining, שדווח לראשונה על ידי CERT אזרבייג'ן באוקטובר 2024, לרוב התחמק מתחת לרדאר, למרות הטווח וההשפעה שלו. סטף ראנד, מומחה לאבטחת סייבר ב-Red Canary, הסביר כי התוכנה הזדונית עדיין פעילה ויכולה להתפתח עם גרסאות חדשות. המבצע המתמשך ממשיך לנצל תולעי VBS כמו Tangerine Turkey כדי לקבל גישה למערכות לצורך כרייה.
בעוד שהתולעת Tangerine Turkey ממשיכה להשפיע על מערכות ברחבי העולם, מומחים מדגישים את החשיבות של ערנות ובדיקות אבטחה סדירות כדי לזהות ולהפחית את השפעתה. היכולת של התולעת להישאר חבוייה תוך יצירת מטבעות קריפטוגרפיים עבור מפעיליה הופכת אותה לאיום משמעותי ומתמשך על אבטחת סייבר ברחבי העולם.
