ظهور بدافزار رمزارز این بار در قالب مترجم گوگل
تاریخ انتشار: ۱۴ شهریور ۱۴۰۱ | کد خبر: ۳۵۹۳۲۶۴۰
بدافزار استخراجکننده ارز دیجیتال در قالب نرمافزارهای جعلی تحت عنوان Google Translate Desktop یا برنامههای جذاب دیگر در برخی کشورها از اوایل مردادماه در کارزاری جدید به نام Nitrokod، در حال انتشار است.
به گزارش ایسنا، مهاجمان این کارزار، بدافزارهای استخراجکننده ارز دیجیتال را از طریق سایتهایی همچون Nitrokod، Softpedia و Uptodown که مدعی ارائه نرمافزارهای رایگان و ایمن هستند، منتشر میکنند.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
اکثر برنامههای آلوده به این بدافزار، در ظاهر نرمافزارهای محبوبی هستند که نسخه رسمی دسکتاپ ندارند؛ بهعنوانمثال، محبوبترین برنامه Nitrokod نسخه دسکتاپ Google Translate است که علاوه بر سایت Nitrokod در Softpedia نیز بارگذاری شده و تاکنون بیش از ۱۱۲ هزار بار دانلود شده است.
این در حالی است که گوگل، نسخه رسمی دسکتاپ Translate را منتشر نکرده؛ ازاینرو انتشار این نسخه در این سایتها، برای مهاجمان بسیار جذاب است.
این برنامههای آلوده علاوه بر بازدیدکنندگان معمولی سایتها، در معرض نمایش موتورهای جستجو نیز قرار میگیرند. متأسفانه، پیشنهادها و تبلیغ Nitrokod برای این نرمافزارها در نتایج جستجوی Google رتبه بالایی دارد و این سایت طعمهای عالی برای کاربرانی است که به دنبال ابزاری خاص هستند. هنگامی که کاربران نسخه دسکتاپ Google Translate را جستجو میکنند، بهسرعت به سایتهای مذکور هدایت میشوند.
زنجیره آلودگی
محققان در گزارشی اعلام کردهاند که این بدافزار به طور عمدی نصب و اجرای کد مخرب را تا یک ماه به تأخیر میاندازد تا از شناسایی شدن توسط راهکارهای امنیتی جلوگیری کند.
طبق اعلام مرکز مدیریت راهبردی افتا، فارغ از اینکه کدام یک از این برنامههای آلوده از سایت Nitrokod دانلود میشوند، کاربر یک فایل RAR محافظت شده با رمز عبور (Password-protected RAR) که شامل فایل اجرایی برنامه دانلود شده است، را دریافت میکند؛ همچنین بدافزار دو کلید رجیستری زیر را ایجاد میکند. از یکی از این کلیدها برای ذخیره آخرین زمان و تاریخ اجرا و دیگری بهعنوان یک شمارنده استفاده میشود.
برای جلوگیری از ایجاد حساسیت و جلبتوجه کاربر و خنثیکردن قابلیتهای تحلیل بدافزار (Sandbox)، نرمافزار یادشده، فایل فراخوانیکننده بدافزار (Dropper) را از یک فایل RAR رمزگذاری شده دیگر فعال میکند که از طریق Wget دریافت شده است.
در مرحله بعد، نرمافزار تمام لاگهای سیستم را با استفاده از دستورات PowerShell پاک کرده و پس از مدتی، RAR رمزگذاری شده بعدی را از "intelserviceupdate[.]com" بازیابی میکند.
بدافزار، وجود نرمافزار ضدویروس را بررسی کرده، ضمن جستجوی پروسههای متعلق به ماشینهای مجازی، از یک سری روالهای ضد شناسایی و ضد تحلیل برای دورزدن محصولات امنیتی استفاده میکند و در نهایت یک قاعده به مجموعه قواعد فایروال و یک استثنا به Windows Defender اضافه میکند، در نهایت یک بدافزار استخراجکننده رمزارز XMRig، کنترلر آن و یک فایل تنظیمات با پسوند «.sys» را بازیابی میکند.
طبق گزارش مرکز مدیریت راهبردی افتا، بدافزار بستری را که روی آن اجرا میشود، شناسایی کرده، سپس به سرور کنترل و فرماندهی خود (Command-and-Control – بهاختصار C۲) متصل شده و گزارش کامل سیستم قربانی را از طریق درخواستهای HTTP POST ارسال میکند. سرور مذکور، فرمانهایی همچون فعالسازی و تعیین میزان مصرف CPU، زمانبندی Ping مجدد به C۲ یا شناسایی راهکارهای امنیتی جهت دورزدن آنها را ارسال میکند.
منبع: تابناک
کلیدواژه: مذاکرات وین پیاده روی اربعین مهدی تاج اربعین زیارت اربعین بدافزار استخراج کننده گوگل مذاکرات وین پیاده روی اربعین مهدی تاج اربعین زیارت اربعین
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.tabnak.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «تابناک» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۵۹۳۲۶۴۰ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
هشدار به ایرانیها؛ بدافزار خطرناک PlugX در حال نفوذ به کامپیوترها است
براساس گزارش مؤسسهی امنیتی Sekoia، میلیونها دستگاه در سراسر دنیا دربرابر بدافزار رهاشدهی PlugX USB آسیبپذیر هستند. این بدافزار خطرناک که توانایی تکثیر دارد، در بازهای ۶ ماهه از سپتامبر ۲۰۲۳ (شهریور و مهر ۱۴۰۲) آثاری از خود در نزدیک به ۲٫۵ میلیون آدرس IP نشان داده است.
بیش از ۸۰ درصد تمامی دستگاههای آلودهشده به بدافزار PlugX USB مربوط به ۱۵ کشور بودهاند که در بین آنها، نیجریه، هند، چین، ایران، اندونزی، بریتانیا، عراق و آمریکا بهترتیب در رتبههای اول تا هفتم قرار گرفتند. PlugX USB درمجموع کامپیوترهای ۱۷۰ کشور را آلوده کرد.
بدافزارهای USB محور قبلی معمولاً کشورهایی را تحتتأثیر قرار میدادند که بین دستگاههای آنها شباهتهایی مشاهده میشد؛ اما این گفته برای PlugX USB صدق نمیکند. برای نمونه، بدافزار RETADUP بیشترین نرخ نفوذ به سیستمها را در کشورهای اسپانیاییزبان ثبت کرده بود.
محققان شرکت Sekoia میگویند که بدافزار PlugX USB ازطریق دستگاههای ذخیرهسازی USB (فلش) بهراحتی در بین سیستمها منتقل میشود. بررسیهای Sekoia نشان میدهد که تقریباً بهطور روزانه ۹۰٬۰۰۰ تا ۱۰۰٬۰۰۰ دستگاه به PlugX USB آلوده شدهاند.
Sekoia از شرکتهای امنیتی و دولتها درخواست کرده است که ازطریق راهکاری خاص که به ارسال دستور متنی وابسته است، به حذف PlugX USB از کامپیوترها کمک کنند؛ اما این راهکار کاملاً کارساز نیست و امکان آلودهشدن مجدد سیستمها وجود دارد؛ چون PlugX USB ازطریق دستگاههای USB در حال انتقال بین سیستمها است.
بدافزار PlugX حداقل از سال ۲۰۰۸ استفاده شده و بیشتر برای جاسوسی و دسترسی به سیستمها از راه دور کاربرد داشته است. حتی در برهههایی زمانی از PlugX برای حمله به دولتها و سازمانهای سیاسی در آسیا و سپس غرب استفاده شد. محققان باور دارند که کد منبع PlugX در سال ۲۰۱۵ فاش شده است.
فعلاً راهکار مشخصی برای مقابله با PlugX وجود ندارد. به شما توصیه میکنیم که از اتصال دستگاههای ناشناس USB به کامپیوتر خود جلوگیری کنید.
باشگاه خبرنگاران جوان علمی پزشکی فناوری