ظهور بدافزار رمزارز این بار در قالب مترجم گوگل

به گزارش مجله خبری نگار، مهاجمان این کارزار، بدافزار‌های استخراج‌کننده ارز دیجیتال را از طریق سایت‌هایی همچون Nitrokod، Softpedia و Uptodown که مدعی ارائه نرم‌افزار‌های رایگان و ایمن هستند، منتشر می‌کنند. در نگاه اول به نظر می‌رسد که این برنامه‌ها فاقد هرگونه کد بدافزاری هستند و عملکرد تبلیغ شده را ارائه می‌کنند.

اکثر برنامه‌های آلوده به این بدافزار، در ظاهر نرم‌افزار‌های محبوبی هستند که نسخه رسمی دسکتاپ ندارند؛ به‌عنوان‌مثال، محبوب‌ترین برنامه Nitrokod نسخه دسکتاپ Google Translate است که علاوه بر سایت Nitrokod در Softpedia نیز بارگذاری شده و تاکنون بیش از ۱۱۲ هزار بار دانلود شده است.

این در حالی است که گوگل، نسخه رسمی دسکتاپ Translate را منتشر نکرده؛ ازاین‌رو انتشار این نسخه در این سایت‌ها، برای مهاجمان بسیار جذاب است.

این برنامه‌های آلوده علاوه بر بازدیدکنندگان معمولی سایت‌ها، در معرض نمایش موتور‌های جستجو نیز قرار می‌گیرند. متأسفانه، پیشنهاد‌ها و تبلیغ Nitrokod برای این نرم‌افزار‌ها در نتایج جستجوی Google رتبه بالایی دارد و این سایت طعمه‌ای عالی برای کاربرانی است که به دنبال ابزاری خاص هستند. هنگامی که کاربران نسخه دسکتاپ Google Translate را جستجو می‌کنند، به‌سرعت به سایت‌های مذکور هدایت می‌شوند.

زنجیره آلودگی

محققان در گزارشی اعلام کرده‌اند که این بدافزار به طور عمدی نصب و اجرای کد مخرب را تا یک ماه به تأخیر می‌اندازد تا از شناسایی شدن توسط راهکار‌های امنیتی جلوگیری کند.
طبق اعلام مرکز مدیریت راهبردی افتا، فارغ از اینکه کدام یک از این برنامه‌های آلوده از سایت Nitrokod دانلود می‌شوند، کاربر یک فایل RAR محافظت شده با رمز عبور (Password-protected RAR) که شامل فایل اجرایی برنامه دانلود شده است، را دریافت می‌کند؛ همچنین بدافزار دو کلید رجیستری زیر را ایجاد می‌کند. از یکی از این کلید‌ها برای ذخیره آخرین زمان و تاریخ اجرا و دیگری به‌عنوان یک شمارنده استفاده می‌شود.

برای جلوگیری از ایجاد حساسیت و جلب‌توجه کاربر و خنثی‌کردن قابلیت‌های تحلیل بدافزار (Sandbox)، نرم‌افزار یادشده، فایل فراخوانی‌کننده بدافزار (Dropper) را از یک فایل RAR رمزگذاری شده دیگر فعال می‌کند که از طریق Wget دریافت شده است.
در مرحله بعد، نرم‌افزار تمام لاگ‌های سیستم را با استفاده از دستورات PowerShell پاک کرده و پس از مدتی، RAR رمزگذاری شده بعدی را از "intelserviceupdate []com" بازیابی می‌کند.

بدافزار، وجود نرم‌افزار ضدویروس را بررسی کرده، ضمن جستجوی پروسه‌های متعلق به ماشین‌های مجازی، از یک سری روال‌های ضد شناسایی و ضد تحلیل برای دورزدن محصولات امنیتی استفاده می‌کند و در نهایت یک قاعده به مجموعه قواعد فایروال و یک استثنا به Windows Defender اضافه می‌کند، در نهایت یک بدافزار استخراج‌کننده رمزارز XMRig، کنترلر آن و یک فایل تنظیمات با پسوند «sys» را بازیابی می‌کند.

طبق گزارش مرکز مدیریت راهبردی افتا، بدافزار بستری را که روی آن اجرا می‌شود، شناسایی کرده، سپس به سرور کنترل و فرماندهی خود (Command-and-Control – به‌اختصار C ۲) متصل شده و گزارش کامل سیستم قربانی را از طریق درخواست‌های HTTP POST ارسال می‌کند. سرور مذکور، فرمان‌هایی همچون فعال‌سازی و تعیین میزان مصرف CPU، زمان‌بندی Ping مجدد به C ۲ یا شناسایی راهکار‌های امنیتی جهت دورزدن آن‌ها را ارسال می‌کند.