ITanalyze

صبا رضایی – مرکز ماهر در مورد بدافزار استخراج‌کننده ارز دیجیتال هشدار داد. این بدافزار که در قالب نرم‌افزار دسکتاپی گوگل ترنسلیت منتشر شده است، به عنوان نرم‌افزار استخراج کننده رمزارز معرفی شده است.

بدافزار یادشده که توسط یک شرکت ترکیه‌ای منتشر شده، نه هر رمزارزی بلکه یکی از محبوب‌ترین و جذاب‌ترین رمزارزها یعنی مونرو را استخراج می‌کرد. یا شرکت منتشرکننده آن چنین ادعایی می‌کرد. مونرو به دلیل اینکه قابل پیگیری نیست و تراکنش‌های آن مشخص نیست بسیار محبوب است.
بدافزار استخراج‌کننده ارز دیجیتال در قالب نرم‌افزارهای جعلی تحت عنوان Google Translate Desktop یا برنامه‌های جذاب دیگر در برخی کشورها از اوایل مردادماه در کارزاری جدید به نام Nitrokod، در حال انتشار است.
مهاجمان این کارزار، بدافزارهای استخراج‌کننده ارز دیجیتال را از طریق سایت‌هایی همچون Nitrokod، Softpedia و Uptodown که مدعی ارایه نرم‌افزارهای رایگان و ایمن هستند، منتشر می‌کنند. در نگاه اول به نظر می‌رسد که این برنامه‌ها فاقد هرگونه کد بدافزاری هستند و عملکرد تبلیغ شده را ارایه می‌کنند.
اکثر برنامه‌های آلوده به این بدافزار، در ظاهر نرم‌افزارهای محبوبی هستند که نسخه رسمی ‌دسکتاپ ندارند؛ به‌عنوان‌مثال، محبوب‌ترین برنامه Nitrokod نسخه دسکتاپ Google Translate است که علاوه بر سایت Nitrokod در Softpedia نیز بارگذاری شده و تاکنون بیش از ۱۱۲ هزار بار دانلود شده است.
این در حالی است که گوگل، نسخه رسمی‌دسکتاپ Translate را منتشر نکرده؛ از این‌رو انتشار این نسخه در این سایت‌ها، برای مهاجمان بسیار جذاب است.
این برنامه‌های آلوده علاوه بر بازدیدکنندگان معمولی سایت‌ها، در معرض نمایش موتورهای جست‌وجو نیز قرار می‌گیرند. متاسفانه، پیشنهادها و تبلیغ Nitrokod برای این نرم‌افزارها در نتایج جست‌وجوی Google رتبه بالایی دارد و این سایت طعمه‌ای عالی برای کاربرانی است که به دنبال ابزاری خاص هستند. هنگامی‌که کاربران نسخه دسکتاپ Google Translate را جست‌وجو می‌کنند، به‌سرعت به سایت‌های مذکور هدایت می‌شوند.

زنجیره آلودگی
محققان در گزارشی اعلام کرده‌اند که این بدافزار به طور عمدی نصب و اجرای کد مخرب را تا یک ماه به تاخیر می‌اندازد تا از شناسایی شدن توسط راهکارهای امنیتی جلوگیری کند.
طبق اعلام مرکز مدیریت راهبردی افتا، فارغ از اینکه کدام یک از این برنامه‌های آلوده از سایت Nitrokod دانلود می‌شوند، کاربر یک فایل RAR محافظت شده با رمز عبور (Password-protected RAR) که شامل فایل اجرایی برنامه دانلود شده است را دریافت می‌کند؛ همچنین بدافزار دو کلید رجیستری زیر را ایجاد می‌کند. از یکی از این کلیدها برای ذخیره آخرین زمان و تاریخ اجرا و از دیگری به‌عنوان یک شمارنده استفاده می‌شود.
برای جلوگیری از ایجاد حساسیت و جلب‌توجه کاربر و خنثی‌کردن قابلیت‌های تحلیل بدافزار (Sandbox) نرم‌افزار یادشده، فایل فراخوانی‌کننده بدافزار (Dropper) را از یک فایل RAR رمزگذاری شده دیگر فعال می‌کند که از طریق Wget دریافت شده است.در مرحله بعد، نرم‌افزار تمام لاگ‌های سیستم را با استفاده از دستورات PowerShell پاک کرده و پس از مدتی، RAR رمزگذاری شده بعدی را از “intelserviceupdate[.]com” بازیابی می‌کند.
بدافزار، وجود نرم‌افزار ضدویروس را بررسی کرده، ضمن جست‌وجوی پروسه‌های متعلق به ماشین‌های مجازی، از یک سری روال‌های ضد شناسایی و ضد تحلیل برای دورزدن محصولات امنیتی استفاده می‌کند و در نهایت یک قاعده به مجموعه قواعد فایروال و یک استثنا به Windows Defender اضافه می‌کند، در نهایت یک بدافزار استخراج‌کننده رمزارز XMRig، کنترلر آن و یک فایل تنظیمات با پسوند «.sys» را بازیابی می‌کند.
سپس بدافزار بستری را که روی آن اجرا می‌شود، شناسایی کرده، سپس به سرور کنترل و فرماندهی خود (Command-and-Control به ‌اختصار C2) متصل شده و گزارش کامل سیستم قربانی را از طریق درخواست‌های HTTP POST ارسال می‌کند. سرور مذکور نیز فرمان‌هایی همچون فعال‌سازی و تعیین میزان مصرف CPU، زمان‌بندی Ping مجدد به C2 یا شناسایی راهکارهای امنیتی جهت دورزدن آنها را ارسال می‌کند.

بدافزارهای محبوب استخراج رمزارز
بدافزارهایی که به عنوان استخراج‌کننده رمزارز مطرح می‌شوند معمولا بسیار طرفدار دارند و مورد استقبال بسیاری قرار می‌گیرند.
جواد دادگر، کارشناس امنیت سایبری به «عصر ارتباط» گفت: بدافزاری که مرکز ماهر و رسانه‌ها در مورد آن هشدار داده‌اند، یک بدافزار دسکتاپی است که برای کامپیوترها و لپ‌تاپ‌ها طراحی شده است. منتشر کننده آن شرکتی بود که نرم‌افزارهایی که در قالب وب بودند یا به صورت رسمی ‌وجود نداشتند را به صورت دسکتاپی تولید و ارایه می‌کرد.
او افزود: به طور مثال گوگل ترنسلیت نرم‌افزار دسکتاپی ندارد و تنها روی وب قابل استفاده است اما این شرکت که ترکیه‌ای است، نرم‌افزار دسکتاپی آن را منتشر کرده است. این بدافزار برای استخراج رمزارز مونرو مورد استفاده قرار می‌گرفته است. مونرو تنها رمزارزی است که حتی تراکنش‌های آن را نیز نمی‌توان پیگیری کرد. بقیه رمزارزها تراکنش‌هایشان قابل پیگیری است اما در مورد مونرو اینگونه نیست. مکانیزم‌هایی مورد استفاده قرار می‌گیرد که این بدافزار از آنتی‌ویروس و فایروال به سادگی عبور کند. این بدافزارها از یک زمانی فعال می‌شوند، شرکت‌ها آن را بررسی کرده و به دیتابیس خود اضافه می‌کنند.

رمزارز مونرو
مونرو (XMR) رمزارزی است که در سال 2014 آغاز به کار کرد، یک ارز دیجیتال مبتنی بر بلاک‌چین است و به صورت منبع باز (Open Source) عمل می‌کند. در این رمزارز بر حفظ حریم خصوصی به طور مطلق تاکید شده است. بلاک‌چین‌ها اساسی‌ترین زیربنای رمزارزها هستند و به عنوان یک دفتر کل، تمام فعالیت‌های کاربران و تراکنش‌های شبکه را نمایش می‌دهند.
بلاک‌چین این رمزارز به گونه‌ای ساخته شده است که هرگز شفاف نباشد. این امر باعث می‌شود تا با تغییر آدرس‌های کاربران از سوی شرکت، هیچکدام از اطلاعات مربوط به تراکنش نظیر هویت فرستنده و گیرنده و مقدار هر تراکنش قابل مشاهده نباشد.
در کنار ناشناس بودن، فرایند استخراج مونرو مبتنی بر اصل تساوی‌گرایی است؛ به گونه‌ای که تمام افراد شبکه با هم برابر هستند و همگی فرصتی مشابه برای استخراج و دریافت پاداش دارند. در زمان راه‌اندازی این رمزارز، توسعه‌دهندگان آن هیچ سهمی ‌به خود تخصیص ندادند و با توزیع تمام سهام آن را به منظور حمایت از شبکه و توسعه بیشتر این پول مجازی به کار گرفتند. این رمزارز از یک فرایند استخراج منحصربه‌فرد پشتیبانی می‌کند که در آن افراد با پیوستن به استخرهای استخراج یا به صورت استخراج انفرادی پاداش دریافت می‌کنند. استخراج مونرو را می‌توان توسط کامپیوترهای معمولی انجام داد و مانند سایر ارزهای دیجیتال به دستگاه‌های ماینر (ASIC) نیازی ندارد.
این رمزارز روی تمام سیستم‌های عامل‌ مختلف نظیر اندروید، ios، مک، لینوکس، ویندوز و FreeBSD اجرا می‌شود.

بدافزارهای دسکتاپی
دادگر گفت: در خصوص بدافزارهای دسکتاپی نیز، هشدارها و نکاتی که در مورد بدافزارهای اندرویدی وجود دارد، صدق می‌کند. مثلا تا زمانی که بدافزار مربوطه را نصب نکنید، تحت هیچ عنوانی نمی‌توانند به سیستم شما آسیب برسانند.
معمولا استخراج رمزارزها نیاز به دستگاه ماینر دارند اما برخی از رمزارزها مانند اتریوم و مونرو را می‌توان با استفاده از نرم‌افزارها و برخی سایت‌ها استخراج کرد. البته این امر بسیار روند طولانی دارد و به سیستم شما آسیب می‌زند.
دادگر در این خصوص معتقد است که نرم‌افزارها و سایت‌های معروف و معتبری برای استخراج رمزارزها وجود دارد و می‌توان از آنها استفاده کرد اما از نرم‌افزارها و سایت‌های نامعتبر نباید در این مورد استفاده کرد.
او گفت: برخی از رمزارزها نیاز به دستگاه دارد اما برخی از رمزارزها مانند اتریوم و مونرو را می‌توان با نرم‌افزار و کامپیوتر شخصی ماین کرد.