بدافزار استخراج‌کننده رمزارز در قالب Google Translate Desktop

از اوایل مرداد ماه در کارزاری جدید به نام Nitrokod، بدافزار استخراج‌کننده ارز دیجیتال در قالب نرم‌افزارهای جعلی تحت عنوان Google Translate Desktop یا برنامه‌های جذاب دیگر در برخی کشورها در حال انتشار می‌باشد.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده کارزار مذکور مورد بررسی قرار گرفته است.

مهاجمان این کارزار، بدافزارهای استخراج‌کننده ارز دیجیتال را از طریق سایت‌هایی همچون Nitrokod ،Softpedia و Uptodown که مدعی ارائه نرم‌افزارهای رایگان و ایمن هستند، منتشر می‌کنند. در نگاه اول به نظر می‌رسد که این برنامه‌ها فاقد هرگونه کد بدافزاری بوده و عملکرد تبلیغ شده را ارائه می‌کنند.

اکثر برنامه‌های آلوده به این بدافزار، در ظاهر نرم‌افزارهای محبوبی هستند که نسخه رسمی دسکتاپ ندارند. به عنوان مثال، محبوب‌ترین برنامه Nitrokod نسخه دسکتاپ Google Translate است که علاوه بر سایت Nitrokod در Softpedia نیز بارگذاری شده و تاکنون بیش از 112 هزار بار دانلود شده است. این در حالی است که گوگل، نسخه رسمی دسکتاپ Translate را منتشر نکرده است. از این رو انتشار این نسخه در این سایت‌ها، برای مهاجمان بسیار جذاب می‌باشد.

این برنامه‌های آلوده علاوه بر بازدیدکنندگان معمولی سایت‌ها در معرض نمایش موتورهای جستجو نیز قرار می‌گیرند. متأسفانه، پیشنهادات و تبلیغ Nitrokod برای این نرم‌افزارها در نتایج جستجوی Google رتبه بالایی دارد و این سایت طعمه‌ای عالی برای کاربرانی است که به دنبال ابزاری خاص هستند. هنگامی که کاربران نسخه دسکتاپ Google Translate را جستجو می‌کنند، به سرعت به سایت‌های مذکور هدایت می‌شوند.

 

 

 

 

 

 

 

زنجیره آلودگی

محققان در گزارشی اعلام کرده‌اند که این بدافزار به طور عمدی نصب و اجرای کد مخرب را تا یک ماه به تاخیر می‌اندازد تا از شناسایی شدن توسط راهکارهای امنیتی جلوگیری کند.

فارغ از اینکه کدام یک از این برنامه‌های آلوده از سایت Nitrokod دانلود می‌شوند، کاربر یک فایل RAR محافظت شده با رمز عبور (Password-protected RAR) که شامل فایل اجرایی برنامه دانلود شده است، را دریافت می‌نماید. همچنین دو کلید رجیستری زیر توسط بدافزار ایجاد می‌شود. از یکی از این کلیدها به منظور ذخیره آخرین زمان و تاریخ اجرا و دیگری به عنوان یک شمارنده استفاده می‌شود.

  • HKLU\Software\Update\D
  • HKLU\Software\Update\S

به منظور جلوگیری از ایجاد حساسیت و جلب توجه کاربر و خنثی کردن قابلیت‌های تحلیل بدافزار (Sandbox)، نرم‌افزار فوق، فایل فراخوانی‌کننده بدافزار (Dropper) را از یک فایل RAR رمزگذاری شده دیگر که از طریق Wget دریافت شده، فعال می‌کند.

در مرحله بعد، نرم‌افزار تمام لاگهای سیستم را با استفاده از دستورات PowerShell پاک نموده و پس از  مدتی، RAR رمزگذاری شده بعدی را از “intelserviceupdate[.]com” بازیابی می‌کند.

 

 

بدافزار، وجود نرم‌افزار ضدویروس را بررسی نموده، ضمن جستجوی پروسه‌های متعلق به ماشین‌های مجازی، از یک سری روال‌های ضدشناسایی و ضدتحلیل جهت دورزدن محصولات امنیتی استفاده می‌کند و در نهایت یک قاعده به مجموعه قواعد فایروال و یک استثناء به Windows Defender اضافه می‌نماید. در نهایت یک بدافزار استخراج‌کننده رمزارز XMRig، کنترلر آن و یک فایل تنظیمات با پسوند «sys.» را بازیابی می‌کند.

 

بدافزار بستری را که روی آن اجرا می‌شود شناسایی کرده، سپس به سرور کنترل و فرمان‌دهی خود (Command-and-Control – به اختصار C2) متصل شده و گزارش کامل سیستم قربانی را از طریق درخواست‌های HTTP POST ارسال می‌کند. سرور مذکور، فرامینی همچون فعالسازی و تعیین میزان مصرف CPU، زمان‌بندی Ping مجدد به C2 یا شناسایی راهکارهای امنیتی جهت دورزدن آنها را ارسال می‌نماید.

 

 

مشروح این گزارش در نشانی زیر قابل مطالعه است:

https://research.checkpoint.com/2022/check-point-research-detects-crypto-miner-malware-disguised-as-google-translate-desktop-and-other-legitimate-applications/

 

نشانه‌های آلودگی

برخی از علائم آلودگی (Indicators-of-Compromise – به اختصار IoC) به شرح زیر می‌باشد:

دامنه (Domain):

Nitrokod[.]com

Intelserviceupdate[.]com

nvidiacenter[.]com

 

هش (Hash):

abe0fb9cd0a6c72b280d15f62e09c776

a3d1702ada15ef384d1c8b2994b0cf2e

668f228c2b2ff54b4f960f7d23cb4737

017781535bdbe116740b6e569657eedf

0cabd67c69355be4b17b0b8a57a9a53c

27d32f245aaae58c1caa52b349bed6fb

 

منبع:

https://research.checkpoint.com/2022/check-point-research-detects-crypto-miner-malware-disguised-as-google-translate-desktop-and-other-legitimate-applications/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *