بدافزار استخراجکننده ارز دیجیتال در قالب نرمافزارهای جعلی تحت عنوان Google Translate Desktop یا برنامههای جذاب دیگر در برخی کشورها از اوایل مردادماه در کارزاری جدید به نام Nitrokod، در حال انتشار است.
مهاجمان این کارزار، بدافزارهای استخراجکننده ارز دیجیتال را از طریق سایتهایی همچون Nitrokod، Softpedia و Uptodown که مدعی ارائه نرمافزارهای رایگان و ایمن هستند، منتشر میکنند. در نگاه اول به نظر میرسد که این برنامهها فاقد هرگونه کد بدافزاری هستند و عملکرد تبلیغ شده را ارائه میکنند.
اکثر برنامههای آلوده به این بدافزار، در ظاهر نرمافزارهای محبوبی هستند که نسخه رسمی دسکتاپ ندارند؛ بهعنوانمثال، محبوبترین برنامه Nitrokod نسخه دسکتاپ Google Translate است که علاوه بر سایت Nitrokod در Softpedia نیز بارگذاری شده و تاکنون بیش از ۱۱۲ هزار بار دانلود شده است.
این در حالی است که گوگل، نسخه رسمی دسکتاپ Translate را منتشر نکرده؛ ازاینرو انتشار این نسخه در این سایتها، برای مهاجمان بسیار جذاب است.
این برنامههای آلوده علاوه بر بازدیدکنندگان معمولی سایتها، در معرض نمایش موتورهای جستجو نیز قرار میگیرند. متأسفانه، پیشنهادها و تبلیغ Nitrokod برای این نرمافزارها در نتایج جستجوی Google رتبه بالایی دارد و این سایت طعمهای عالی برای کاربرانی است که به دنبال ابزاری خاص هستند. هنگامی که کاربران نسخه دسکتاپ Google Translate را جستجو میکنند، بهسرعت به سایتهای مذکور هدایت میشوند.
زنجیره آلودگی
محققان در گزارشی اعلام کردهاند که این بدافزار به طور عمدی نصب و اجرای کد مخرب را تا یک ماه به تأخیر میاندازد تا از شناسایی شدن توسط راهکارهای امنیتی جلوگیری کند.
طبق اعلام مرکز مدیریت راهبردی افتا، فارغ از اینکه کدام یک از این برنامههای آلوده از سایت Nitrokod دانلود میشوند، کاربر یک فایل RAR محافظت شده با رمز عبور (Password-protected RAR) که شامل فایل اجرایی برنامه دانلود شده است، را دریافت میکند؛ همچنین بدافزار دو کلید رجیستری زیر را ایجاد میکند. از یکی از این کلیدها برای ذخیره آخرین زمان و تاریخ اجرا و دیگری بهعنوان یک شمارنده استفاده میشود.
برای جلوگیری از ایجاد حساسیت و جلبتوجه کاربر و خنثیکردن قابلیتهای تحلیل بدافزار (Sandbox)، نرمافزار یادشده، فایل فراخوانیکننده بدافزار (Dropper) را از یک فایل RAR رمزگذاری شده دیگر فعال میکند که از طریق Wget دریافت شده است.
در مرحله بعد، نرمافزار تمام لاگهای سیستم را با استفاده از دستورات PowerShell پاک کرده و پس از مدتی، RAR رمزگذاری شده بعدی را از "intelserviceupdate[.]com" بازیابی میکند.
بدافزار، وجود نرمافزار ضدویروس را بررسی کرده، ضمن جستجوی پروسههای متعلق به ماشینهای مجازی، از یک سری روالهای ضد شناسایی و ضد تحلیل برای دورزدن محصولات امنیتی استفاده میکند و در نهایت یک قاعده به مجموعه قواعد فایروال و یک استثنا به Windows Defender اضافه میکند، در نهایت یک بدافزار استخراجکننده رمزارز XMRig، کنترلر آن و یک فایل تنظیمات با پسوند «.sys» را بازیابی میکند.
طبق گزارش مرکز مدیریت راهبردی افتا، بدافزار بستری را که روی آن اجرا میشود، شناسایی کرده، سپس به سرور کنترل و فرماندهی خود (Command-and-Control – بهاختصار C۲) متصل شده و گزارش کامل سیستم قربانی را از طریق درخواستهای HTTP POST ارسال میکند. سرور مذکور، فرمانهایی همچون فعالسازی و تعیین میزان مصرف CPU، زمانبندی Ping مجدد به C۲ یا شناسایی راهکارهای امنیتی جهت دورزدن آنها را ارسال میکند.