ظهور بدافزار رمزارز این دفعه در چارچوب مترجم گوگل

ظهور بدافزار رمزارز این دفعه در چارچوب مترجم گوگل

به گزارش توسعه نرم افزار، بدافزار استخراج کننده ارز دیجیتال در چارچوب نرم افزارهای جعلی تحت عنوان Google Translate Desktop یا برنامه های جذاب دیگر در بعضی کشورها از اوایل مردادماه در کارزاری جدید به نام Nitrokod، در حال انتشار می باشد.



به گزارش توسعه نرم افزار به نقل از ایسنا، مهاجمان این کارزار، بدافزارهای استخراج کننده ارز دیجیتال را از راه سایت هایی همچون Nitrokod، Softpedia و Uptodown که مدعی عرضه نرم افزارهای مجانی و ایمن هستند، منتشر می کنند. در نگاه اول به نظر می آید که این برنامه ها فاقد هرگونه کد بدافزاری هستند و عملکرد تبلیغ شده را عرضه می کنند.

اغلب برنامه های آلوده به این بدافزار، در ظاهر نرم افزارهای محبوبی هستند که نسخه رسمی دسکتاپ ندارند؛ بعنوان مثال، محبوب ترین برنامه Nitrokod نسخه دسکتاپ Google Translate است که علاوه بر سایت Nitrokod در Softpedia هم بارگذاری شده و تابحال بیشتر از ۱۱۲ هزار بار دانلود شده است.

این در شرایطی است که گوگل، نسخه رسمی دسکتاپ Translate را منتشر نکرده؛ از این رو انتشار این نسخه در این سایت ها، برای مهاجمان بسیار جذاب است.

این برنامه های آلوده علاوه بر بازدیدکنندگان معمولی سایت ها، در معرض نمایش موتورهای جستجو هم قرار می گیرند. متأسفانه، پیشنهادها و تبلیغ Nitrokod برای این نرم افزارها در نتایج جستجوی Google رتبه بالایی دارد و این سایت طعمه ای عالی برای کاربرانی است که به دنبال ابزاری خاص هستند. هنگامی که کاربران نسخه دسکتاپ Google Translate را جستجو می کنند، به سرعت به سایت های مذکور هدایت می شوند.

زنجیره آلودگی

محققان در گزارشی اعلام نموده اند که این بدافزار به صورت عمدی نصب و اجرای کد مخرب را تا یک ماه به تأخیر می اندازد تا از شناسایی شدن توسط راهکارهای امنیتی جلوگیری نماید.
طبق اعلام مرکز مدیریت راهبردی افتا، فارغ از این که کدام یک از این برنامه های آلوده از سایت Nitrokod دانلود می شوند، کاربر یک فایل RAR محافظت شده با رمز عبور (Password-protected RAR) که شامل فایل اجرایی برنامه دانلود شده است، را دریافت می کند؛ همینطور بدافزار دو کلید رجیستری زیر را بوجود می آورد. از یکی از این کلیدها برای ذخیره آخرین زمان و تاریخ اجرا و دیگری بعنوان یک شمارنده استفاده می شود.

برای پیشگیری از ایجاد حساسیت و جلب توجه کاربر و خنثی کردن قابلیت های تحلیل بدافزار (Sandbox)، نرم افزار مورد اشاره، فایل فراخوانی کننده بدافزار (Dropper) را از یک فایل RAR رمزگذاری شده دیگر فعال می کند که از راه Wget دریافت شده است.
در مرحله بعد، نرم افزار تمام لاگ های سیستم را با استفاده از دستورات PowerShell پاک کرده و بعد از مدتی، RAR رمزگذاری شده بعدی را از "intelserviceupdate[.]com" بازیابی می کند.

بدافزار، وجود نرم افزار ضدویروس را بررسی کرده، ضمن جستجوی فرایند های متعلق به ماشین های مجازی، از یک سری روال های ضد شناسایی و ضد تحلیل برای دورزدن محصولات امنیتی استفاده می نماید و در نهایت یک قاعده به مجموعه قواعد فایروال و یک استثنا به Windows Defender اضافه می کند، در نهایت یک بدافزار استخراج کننده رمزارز XMRig، کنترلر آن و یک فایل تنظیمات با پسوند «.sys» را بازیابی می کند.

طبق گزارش مرکز مدیریت راهبردی افتا، بدافزار بستری را که روی آن اجرا می شود، شناسایی کرده، سپس به سرور کنترل و فرماندهی خود (Command-and-Control – به اختصار C۲) متصل شده و گزارش کامل سیستم قربانی را از راه درخواست های HTTP POST ارسال می کند. سرور مذکور، فرمان هایی همچون فعال سازی و تعیین میزان مصرف CPU، زمان بندی Ping مجدد به C۲ یا شناسایی راهکارهای امنیتی جهت دورزدن آنها را ارسال می کند.




منبع:

1401/06/14
11:24:43
5.0 / 5
627
تگهای خبر: service , برنامه , دانلود , دیجیتال
مطلب توسعه نرم افزار را می پسندید؟
(1)
(0)

تازه ترین مطالب مرتبط در DevSoft
نظرات بینندگان DevSoft در مورد این مطلب
لطفا شما هم نظر دهید
= ۴ بعلاوه ۲
devsoft