از اوایل مرداد ماه در کارزاری جدید به نام Nitrokod، بدافزار استخراجکننده ارز دیجیتال در قالب نرمافزارهای جعلی تحت عنوان Google Translate Desktop یا برنامههای جذاب دیگر در برخی کشورها در حال انتشار میباشد.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده کارزار مذکور مورد بررسی قرار گرفته است.
مهاجمان این کارزار، بدافزارهای استخراجکننده ارز دیجیتال را از طریق سایتهایی همچون Nitrokod ،Softpedia و Uptodown که مدعی ارائه نرمافزارهای رایگان و ایمن هستند، منتشر میکنند. در نگاه اول به نظر میرسد که این برنامهها فاقد هرگونه کد بدافزاری بوده و عملکرد تبلیغ شده را ارائه میکنند.
اکثر برنامههای آلوده به این بدافزار، در ظاهر نرمافزارهای محبوبی هستند که نسخه رسمی دسکتاپ ندارند. به عنوان مثال، محبوبترین برنامه Nitrokod نسخه دسکتاپ Google Translate است که علاوه بر سایت Nitrokod در Softpedia نیز بارگذاری شده و تاکنون بیش از 112 هزار بار دانلود شده است. این در حالی است که گوگل، نسخه رسمی دسکتاپ Translate را منتشر نکرده است. از این رو انتشار این نسخه در این سایتها، برای مهاجمان بسیار جذاب میباشد.
این برنامههای آلوده علاوه بر بازدیدکنندگان معمولی سایتها در معرض نمایش موتورهای جستجو نیز قرار میگیرند. متأسفانه، پیشنهادات و تبلیغ Nitrokod برای این نرمافزارها در نتایج جستجوی Google رتبه بالایی دارد و این سایت طعمهای عالی برای کاربرانی است که به دنبال ابزاری خاص هستند. هنگامی که کاربران نسخه دسکتاپ Google Translate را جستجو میکنند، به سرعت به سایتهای مذکور هدایت میشوند.
زنجیره آلودگی
محققان در گزارشی اعلام کردهاند که این بدافزار به طور عمدی نصب و اجرای کد مخرب را تا یک ماه به تاخیر میاندازد تا از شناسایی شدن توسط راهکارهای امنیتی جلوگیری کند.
فارغ از اینکه کدام یک از این برنامههای آلوده از سایت Nitrokod دانلود میشوند، کاربر یک فایل RAR محافظت شده با رمز عبور (Password-protected RAR) که شامل فایل اجرایی برنامه دانلود شده است، را دریافت مینماید. همچنین دو کلید رجیستری زیر توسط بدافزار ایجاد میشود. از یکی از این کلیدها به منظور ذخیره آخرین زمان و تاریخ اجرا و دیگری به عنوان یک شمارنده استفاده میشود.
- HKLU\Software\Update\D
- HKLU\Software\Update\S
به منظور جلوگیری از ایجاد حساسیت و جلب توجه کاربر و خنثی کردن قابلیتهای تحلیل بدافزار (Sandbox)، نرمافزار فوق، فایل فراخوانیکننده بدافزار (Dropper) را از یک فایل RAR رمزگذاری شده دیگر که از طریق Wget دریافت شده، فعال میکند.
در مرحله بعد، نرمافزار تمام لاگهای سیستم را با استفاده از دستورات PowerShell پاک نموده و پس از مدتی، RAR رمزگذاری شده بعدی را از “intelserviceupdate[.]com” بازیابی میکند.
بدافزار، وجود نرمافزار ضدویروس را بررسی نموده، ضمن جستجوی پروسههای متعلق به ماشینهای مجازی، از یک سری روالهای ضدشناسایی و ضدتحلیل جهت دورزدن محصولات امنیتی استفاده میکند و در نهایت یک قاعده به مجموعه قواعد فایروال و یک استثناء به Windows Defender اضافه مینماید. در نهایت یک بدافزار استخراجکننده رمزارز XMRig، کنترلر آن و یک فایل تنظیمات با پسوند «sys.» را بازیابی میکند.
بدافزار بستری را که روی آن اجرا میشود شناسایی کرده، سپس به سرور کنترل و فرماندهی خود (Command-and-Control – به اختصار C2) متصل شده و گزارش کامل سیستم قربانی را از طریق درخواستهای HTTP POST ارسال میکند. سرور مذکور، فرامینی همچون فعالسازی و تعیین میزان مصرف CPU، زمانبندی Ping مجدد به C2 یا شناسایی راهکارهای امنیتی جهت دورزدن آنها را ارسال مینماید.
مشروح این گزارش در نشانی زیر قابل مطالعه است:
نشانههای آلودگی
برخی از علائم آلودگی (Indicators-of-Compromise – به اختصار IoC) به شرح زیر میباشد:
دامنه (Domain):
Nitrokod[.]com
Intelserviceupdate[.]com
nvidiacenter[.]com
هش (Hash):
abe0fb9cd0a6c72b280d15f62e09c776
a3d1702ada15ef384d1c8b2994b0cf2e
668f228c2b2ff54b4f960f7d23cb4737
017781535bdbe116740b6e569657eedf
0cabd67c69355be4b17b0b8a57a9a53c
27d32f245aaae58c1caa52b349bed6fb
منبع: