محققان از کشف نسخه جدیدی از باجافزار Rakhni خبر دادهاند که بسته به تنظیمات و توانایی سختافزاری دستگاه آلوده شده اقدام به رمزگذاری فایلهای کاربر یا اجرای یک استخراجکننده ارز رمز میکند.
باجافزار Rakhni به زبان برنامهنویسی Delphi نوشته شده است.
بر اساس گزارشی که شرکت کسپرسکی آن را منتشر کرده نسخه جدید Rakhni از طریق ایمیلهای فیشینگ با پیوست فایل Word کاربران را عمدتاً در کشور روسیه هدف قرار میدهد.
به گزارش شرکت مهندسی شبکه گستر، فایل پیوست شده، حاوی یک نشان جعلی PDF است که در صورت کلیک کاربر بر روی آن کد مخرب Rakhni به اجرا در میآید.
در ادامه، Rakhni اقدام به اجرای یکی از قابلیتهای زیر میکند:
- رمزگذاری – در صورت وجود پوشهای با نام Bitcoin در بخش %AppData%، عملکرد باجافزاری Rakhni فعال میشود. بخش رمزگذار Rakhni با نامهای زیر شناسایی میشود:
Bitdefender:
– Gen:Variant.Jacard.33743
McAfee:
– Artemis!96F460D55982
Sophos:
– Mal/Generic-S
- استخراج ارز رمز – در صورت عدم وجود پوشه Bitcoin و مجهز بودن دستگاه به حداقل دو پردازشگر، ابزار MinerGate برای استخراج ارز رمز با استفاده از منابع دستگاه اما به نفع نویسندگان Rakhni اجرا میشود. این ابزار استخراجکننده با نامهای زیر شناسایی میشود:
Bitdefender:
– Application.Bitcoinminer.HE
McAfee:
– Artemis!BFF4503FF165
Sophos:
– MinerGate (PUA)
- انتشار در سطح شبکه – در صورت عدم وجود پوشه Bitcoin و وجود تنها یک پردازشگر، Rakhni تلاش میکند تا خود را در سطح شبکه از طریق منابع اشتراکی منتشر کند.
همچنین نسخه جدید مجهز به قابلیتی برای انجام عملیات جاسوسی است که در جریان آن فهرستی از پروسههای اجرا شده به همراه تصویری از صفحه نمایش کاربر به سرور فرماندهی مهاجمان ارسال میگردد.
Rakhni از جمله باجافزارهایی است که توانایی شناسایی بسترهای مجازی و بسترهای موسوم به قرنطینه امن (Sandbox) را دارا میباشد.
مشروح گزارش کسپرسکی در اینجا قابل مطالعه است.