شبکه اطلاعرسانی روابطعمومی ایران (شارا)-|| بدافزار استخراجکننده ارز دیجیتال در قالب نرمافزارهای جعلی تحت عنوان Google Translate Desktop یا برنامههای جذاب دیگر در برخی کشورها از اوایل مردادماه در کارزاری جدید به نام Nitrokod، در حال انتشار است. مهاجمان این کارزار، بدافزارهای استخراجکننده ارز دیجیتال را از طریق سایتهایی همچون Nitrokod، Softpedia و Uptodown که مدعی ارائه نرمافزارهای رایگان و ایمن هستند، منتشر میکنند.
اکثر برنامههای آلوده به این بدافزار، در ظاهر نرمافزارهای محبوبی هستند که نسخه رسمی دسکتاپ ندارند؛ به عنوانمثال، محبوبترین برنامه Nitrokod نسخه دسکتاپ Google Translate است که علاوه بر سایت Nitrokod در Softpedia نیز بارگذاری شده و تاکنون بیش از ۱۱۲ هزار بار دانلود شده است. این در حالی است که گوگل، نسخه رسمی دسکتاپ Translate را منتشر نکرده؛ ازاینرو انتشار این نسخه در این سایتها، برای مهاجمان بسیار جذاب است.
محققان در گزارشی اعلام کردهاند که این بدافزار بهطور عمدی نصب و اجرای کد مخرب را تا یک ماه به تاخیر میاندازد تا از شناسایی توسط راهکارهای امنیتی جلوگیری کند. طبق اعلام مرکز مدیریت راهبردی افتا، فارغ از اینکه کدام یک از این برنامههای آلوده از سایت Nitrokod دانلود میشوند، کاربر یک فایل RAR محافظت شده با رمز عبور (Password-protected RAR) که شامل فایل اجرایی برنامه دانلود شده است را دریافت میکند.
برای جلوگیری از ایجاد حساسیت و جلبتوجه کاربر و خنثیکردن قابلیتهای تحلیل بدافزار (Sandbox)، نرمافزار یادشده، فایل فراخوانیکننده بدافزار (Dropper) را از یک فایل RAR رمزگذاری شده دیگر فعال میکند که از طریق Wget دریافت شده است. در مرحله بعد، نرمافزار تمام لاگهای سیستم را با استفاده از دستورات PowerShell پاک کرده و پس از مدتی، RAR رمزگذاری شده بعدی را از « intelserviceupdate[. ]com » بازیابی میکند.
بدافزار، وجود نرمافزار ضدویروس را بررسی کرده، ضمن جستوجوی پروسههای متعلق به ماشینهای مجازی، از یکسری روالهای ضد شناسایی و ضد تحلیل برای دورزدن محصولات امنیتی استفاده میکند و در نهایت یک قاعده به مجموعه قواعد فایروال و یک استثنا به Windows Defender اضافه میکند، در نهایت یک بدافزار استخراجکننده رمزارز XMRig، کنترلر آن و یک فایل تنظیمات با پسوند «.sys» را بازیابی میکند.
|