کمپین جدید انتشار بدافزار استخراج رمز ارز با پوشش Google Translate

اخیرا بدافزار استخراج رمزارز در ۱۱ کشور جهان کشف شده است که از سرویس‌های مشابه Google Translate و سرویس دانلود فایل‌های MP3 به عنوان پوشش استفاده می‌کند.

به منظور انتشار برنامه‌های کاربردی جعلی، سایت های قانونی که نرم افزار رایگان ارائه می دهند، آنها را بین کاربران خود توزیع می کنند. علاوه بر این، کاربران موتورهای جستجو نیز از طریق بازدید منظم از این سایت ها در معرض برنامه های مخرب قرار می دهد.

شناسایی بدافزار توسط تحلیلگران امنیتی Check Point انجام شده است.  Nitrokod توسعه دهنده این بدافزار است، که به کاربر به عنوان عاری از بدافزار و فراهم کردن برخی از عملکردهایی که تبلیغ می شوند، معرفی می‌شود.

زنجیره انتشار

اکثر کمپین‌های Nitrokod از زنجیره‌های آلودگی مشابهی پیروی می‌کنند، که با یک فایل آلوده دانلود شده از اینترنت شروع می‌شود و سپس فایلی که آلوده شده نصب می‌شود. در این مورد نیز فرآیند به همین صورت است و برنامه مترجم گوگل در واقع زمانی نصب می شود که کاربر نرم افزار جدید را راه اندازی کند و مراحل نصب کامل شود. سپس یک نسخه جدیدتر از فایل حذف شده و فرآیند وارد کردن بدافزار اصلی طی چهار مرحله شروع می شود که در نهایت منجر به وارد شدن بدافزار واقعی به رایانه می‌شود.

در ابتدا، هنگامی که بدافزار اجرا می‌شود، به سرور فرمان و کنترل (C&C) خود متصل ، استخراج‌کننده رمزارز XMRig را پیکربندی می‌کند تا به محض فعال شدن بدافزار، استخراج را آغاز کند. از نظر نتایج جستجو، Nitrokod  رتبه بالایی در گوگل دارد، بنابراین این وب سایت به عنوان یک جذب عالی برای کاربرانی که به دنبال یک سرویس خاص هستند می باشد.

چیزی که کارشناسان در Check Point بیان کردند:

در هنگام نصب ، برای فرار از شناسایی اجزای مخرب بدافزار، نرم افزار به طور عمدی فرآیند را تا یک ماه به تاخیر می اندازد. بیش از ۱۱۲,۱۹۰ دانلود اپلت Nitrokod برای Google Translate در سافت پدیا پس از منتشر شدن اپلت در آنجا انجام شد.

در نرم افزار یک مکانیزم تزریق کد وجود دارد که فعال می شود تا از ایجاد شبهات و خنثی کردن تحلیل سندباکس جلوگیری کند. در روز پنجم آلودگی، یک فایل RAR رمزگذاری شده دیگر توسط Wget ارسال شد که حاوی قطره چکانی بود که از آن فایل بارگذاری شده بود. پس از یک دوره 15 روزه، نرم افزار با استفاده از دستورات PowerShell،  فایل فشرده رمزگذاری شده بعدی را دریافت می کند.

توصیه‌ها

خطر بدافزار استخراج رمزنگاری می‌تواند بسیار زیاد باشد، زیرا می‌تواند باعث بهره‌برداری بیش از حد از سخت‌افزار و تولید گرمای بیش از حد شود و در نتیجه به سخت‌افزار آسیب برساند. همچنین با استفاده از منابع CPU اضافی بر عملکرد رایانه شما تأثیر می گذارد که به نوبه خود باعث کندتر شدن رایانه می شود. در حالی که برای کاهش چنین وضعیت یا تهدیدی باید توصیه هایی را که در زیر ذکر کرده ایم دنبال کنید:

همیشه از دانلود برنامه ها از منابع ناشناس خودداری کنید.

هیچ برنامه ای را که وعده عملکردهای غیر رسمی را می دهد دانلود نکنید.

همیشه قبل از دانلود یک برنامه، نمایه توسعه دهنده را تأیید کنید.

برای دانلود هر برنامه از کلیک روی پیوندهای هرزنامه خودداری کنید.

به اشتراک بگذارید
فریناز مختاری
فریناز مختاری
مقاله‌ها: 519

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *