به نقل از «تابناک»

ظهور بدافزار رمزارز این بار در قالب مترجم گوگل

تاریخ انتشار: ۱۴ شهریور ۱۴۰۱ | کد خبر: ۳۵۹۳۲۶۴۰

بدافزار استخراج‌کننده ارز دیجیتال در قالب نرم‌افزارهای جعلی تحت عنوان Google Translate Desktop یا برنامه‌های جذاب دیگر در برخی کشورها از اوایل مردادماه در کارزاری جدید به نام Nitrokod، در حال انتشار است.

به گزارش ایسنا، مهاجمان این کارزار،  بدافزارهای استخراج‌کننده ارز دیجیتال را از طریق سایت‌هایی همچون Nitrokod، Softpedia و Uptodown که مدعی ارائه نرم‌افزارهای رایگان و ایمن هستند، منتشر می‌کنند.

بیشتر بخوانید: اخباری که در وبسایت منتشر نمی‌شوند!

در نگاه اول به نظر می‌رسد که این برنامه‌ها فاقد هرگونه کد بدافزاری هستند و عملکرد تبلیغ شده را ارائه می‌کنند.  

 اکثر برنامه‌های آلوده به این بدافزار، در ظاهر نرم‌افزارهای محبوبی هستند که نسخه رسمی دسکتاپ ندارند؛ به‌عنوان‌مثال، محبوب‌ترین برنامه Nitrokod نسخه دسکتاپ Google Translate است که علاوه بر سایت Nitrokod در Softpedia نیز بارگذاری شده و تاکنون بیش از ۱۱۲ هزار بار دانلود شده است.

 این در حالی است که گوگل، نسخه رسمی دسکتاپ Translate را منتشر نکرده؛ ازاین‌رو انتشار این نسخه در این سایت‌ها، برای مهاجمان بسیار جذاب است.  

این برنامه‌های آلوده علاوه بر بازدیدکنندگان معمولی سایت‌ها، در معرض نمایش موتورهای جستجو نیز قرار می‌گیرند. متأسفانه، پیشنهادها و تبلیغ Nitrokod برای این نرم‌افزارها در نتایج جستجوی Google رتبه بالایی دارد و این سایت طعمه‌ای عالی برای کاربرانی است که به دنبال ابزاری خاص هستند. هنگامی که کاربران نسخه دسکتاپ Google Translate را جستجو می‌کنند، به‌سرعت به سایت‌های مذکور هدایت می‌شوند.

زنجیره آلودگی

محققان در گزارشی اعلام کرده‌اند که این بدافزار به طور عمدی نصب و اجرای کد مخرب را تا یک ماه به تأخیر می‌اندازد تا از شناسایی شدن توسط راهکارهای امنیتی جلوگیری کند.
طبق اعلام مرکز مدیریت راهبردی افتا، فارغ از اینکه کدام یک از این برنامه‌های آلوده از سایت Nitrokod دانلود می‌شوند، کاربر یک فایل RAR محافظت شده با رمز عبور (Password-protected RAR) که شامل فایل اجرایی برنامه دانلود شده است، را دریافت می‌کند؛ همچنین بدافزار دو کلید رجیستری زیر را ایجاد می‌کند. از یکی از این کلیدها برای ذخیره آخرین زمان و تاریخ اجرا و دیگری به‌عنوان یک شمارنده استفاده می‌شود.  

برای جلوگیری از ایجاد حساسیت و جلب‌توجه کاربر و خنثی‌کردن قابلیت‌های تحلیل بدافزار (Sandbox)، نرم‌افزار یادشده، فایل فراخوانی‌کننده بدافزار (Dropper) را از یک فایل RAR رمزگذاری شده دیگر فعال می‌کند که از طریق Wget دریافت شده است.
در مرحله بعد، نرم‌افزار تمام لاگ‌های سیستم را با استفاده از دستورات PowerShell پاک کرده و پس از  مدتی، RAR رمزگذاری شده بعدی را از "intelserviceupdate[.]com" بازیابی می‌کند.

بدافزار، وجود نرم‌افزار ضدویروس را بررسی کرده، ضمن جستجوی پروسه‌های متعلق به ماشین‌های مجازی، از یک سری روال‌های ضد شناسایی و ضد تحلیل برای دورزدن محصولات امنیتی استفاده می‌کند و در نهایت یک قاعده به مجموعه قواعد فایروال و یک استثنا به Windows Defender اضافه می‌کند، در نهایت یک بدافزار استخراج‌کننده رمزارز XMRig، کنترلر آن و یک فایل تنظیمات با پسوند «.sys» را بازیابی می‌کند.

طبق گزارش مرکز مدیریت راهبردی افتا، بدافزار بستری را که روی آن اجرا می‌شود، شناسایی کرده، سپس به سرور کنترل و فرماندهی خود (Command-and-Control – به‌اختصار C۲) متصل شده و گزارش کامل سیستم قربانی را از طریق درخواست‌های HTTP POST ارسال می‌کند. سرور مذکور، فرمان‌هایی همچون فعال‌سازی و تعیین میزان مصرف CPU، زمان‌بندی Ping مجدد به C۲ یا شناسایی راهکارهای امنیتی جهت دورزدن آنها را ارسال می‌کند.

منبع: تابناک

کلیدواژه: مذاکرات وین پیاده روی اربعین مهدی تاج اربعین زیارت اربعین بدافزار استخراج کننده گوگل مذاکرات وین پیاده روی اربعین مهدی تاج اربعین زیارت اربعین

درخواست حذف خبر:

«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را به‌طور اتوماتیک از وبسایت www.tabnak.ir دریافت کرده‌است، لذا منبع این خبر، وبسایت «تابناک» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۵۹۳۲۶۴۰ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتی‌که در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.

با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.

خبر بعدی:

هشدار به ایرانی‌ها؛ بد‌افزار خطرناک PlugX در حال نفوذ به کامپیوتر‌ها است

براساس گزارش مؤسسه‌ی امنیتی Sekoia، میلیون‌ها دستگاه در سراسر دنیا دربرابر بدافزار رهاشده‌ی PlugX USB آسیب‌پذیر هستند. این بدافزار خطرناک که توانایی تکثیر دارد، در بازه‌ای ۶ ماهه از سپتامبر ۲۰۲۳ (شهریور و مهر ۱۴۰۲) آثاری از خود در نزدیک به ۲٫۵ میلیون آدرس IP نشان داده است.

بیش از ۸۰ درصد تمامی دستگاه‌های آلوده‌شده به بدافزار PlugX USB مربوط به ۱۵ کشور بوده‌اند که در بین آنها، نیجریه، هند، چین، ایران، اندونزی، بریتانیا، عراق و آمریکا به‌ترتیب در رتبه‌های اول تا هفتم قرار گرفتند. PlugX USB درمجموع کامپیوتر‌های ۱۷۰ کشور را آلوده کرد.

بدافزار‌های USB محور قبلی معمولاً کشور‌هایی را تحت‌تأثیر قرار می‌دادند که بین دستگاه‌های آنها شباهت‌هایی مشاهده می‌شد؛ اما این گفته برای PlugX USB صدق نمی‌کند. برای نمونه، بدافزار RETADUP بیشترین نرخ نفوذ به سیستم‌ها را در کشور‌های اسپانیایی‌زبان ثبت کرده بود.

محققان شرکت Sekoia می‌گویند که بدافزار PlugX USB ازطریق دستگاه‌های ذخیره‌سازی USB (فلش) به‌راحتی در بین سیستم‌ها منتقل می‌شود. بررسی‌های Sekoia نشان می‌دهد که تقریباً به‌طور روزانه ۹۰٬۰۰۰ تا ۱۰۰٬۰۰۰ دستگاه به PlugX USB آلوده شده‌اند.

‏Sekoia از شرکت‌های امنیتی و دولت‌ها درخواست کرده است که ازطریق راهکاری خاص که به ارسال دستور متنی وابسته است، به حذف PlugX USB از کامپیوتر‌ها کمک کنند؛ اما این راهکار کاملاً کارساز نیست و امکان آلوده‌شدن مجدد سیستم‌ها وجود دارد؛ چون PlugX USB ازطریق دستگاه‌های USB در حال انتقال بین سیستم‌ها است.

بدافزار PlugX حداقل از سال ۲۰۰۸ استفاده شده و بیشتر برای جاسوسی و دسترسی به سیستم‌ها از راه دور کاربرد داشته است. حتی در برهه‌هایی زمانی از PlugX برای حمله به دولت‌ها و سازمان‌های سیاسی در آسیا و سپس غرب استفاده شد. محققان باور دارند که کد منبع PlugX در سال ۲۰۱۵ فاش شده است.

فعلاً راهکار مشخصی برای مقابله با PlugX وجود ندارد. به شما توصیه می‌کنیم که از اتصال دستگاه‌های ناشناس USB به کامپیوتر خود جلوگیری کنید.

باشگاه خبرنگاران جوان علمی پزشکی فناوری