ظهور بدافزار رمزارز این بار در قالب مترجم گوگل
تاریخ انتشار: ۱۳ شهریور ۱۴۰۱ | کد خبر: ۳۵۹۲۸۰۲۸
بدافزار استخراجکننده ارز دیجیتال در قالب نرمافزارهای جعلی تحت عنوان Google Translate Desktop یا برنامههای جذاب دیگر در برخی کشورها از اوایل مردادماه در کارزاری جدید به نام Nitrokod، در حال انتشار است.
به گزارش ایران اکونومیست، مهاجمان این کارزار، بدافزارهای استخراجکننده ارز دیجیتال را از طریق سایتهایی همچون Nitrokod، Softpedia و Uptodown که مدعی ارائه نرمافزارهای رایگان و ایمن هستند، منتشر میکنند.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
اکثر برنامههای آلوده به این بدافزار، در ظاهر نرمافزارهای محبوبی هستند که نسخه رسمی دسکتاپ ندارند؛ بهعنوانمثال، محبوبترین برنامه Nitrokod نسخه دسکتاپ Google Translate است که علاوه بر سایت Nitrokod در Softpedia نیز بارگذاری شده و تاکنون بیش از ۱۱۲ هزار بار دانلود شده است.
این در حالی است که گوگل، نسخه رسمی دسکتاپ Translate را منتشر نکرده؛ ازاینرو انتشار این نسخه در این سایتها، برای مهاجمان بسیار جذاب است.
این برنامههای آلوده علاوه بر بازدیدکنندگان معمولی سایتها، در معرض نمایش موتورهای جستجو نیز قرار میگیرند. متأسفانه، پیشنهادها و تبلیغ Nitrokod برای این نرمافزارها در نتایج جستجوی Google رتبه بالایی دارد و این سایت طعمهای عالی برای کاربرانی است که به دنبال ابزاری خاص هستند. هنگامی که کاربران نسخه دسکتاپ Google Translate را جستجو میکنند، بهسرعت به سایتهای مذکور هدایت میشوند.
زنجیره آلودگی
محققان در گزارشی اعلام کردهاند که این بدافزار به طور عمدی نصب و اجرای کد مخرب را تا یک ماه به تأخیر میاندازد تا از شناسایی شدن توسط راهکارهای امنیتی جلوگیری کند.
طبق اعلام مرکز مدیریت راهبردی افتا، فارغ از اینکه کدام یک از این برنامههای آلوده از سایت Nitrokod دانلود میشوند، کاربر یک فایل RAR محافظت شده با رمز عبور (Password-protected RAR) که شامل فایل اجرایی برنامه دانلود شده است، را دریافت میکند؛ همچنین بدافزار دو کلید رجیستری زیر را ایجاد میکند. از یکی از این کلیدها برای ذخیره آخرین زمان و تاریخ اجرا و دیگری بهعنوان یک شمارنده استفاده میشود.
برای جلوگیری از ایجاد حساسیت و جلبتوجه کاربر و خنثیکردن قابلیتهای تحلیل بدافزار (Sandbox)، نرمافزار یادشده، فایل فراخوانیکننده بدافزار (Dropper) را از یک فایل RAR رمزگذاری شده دیگر فعال میکند که از طریق Wget دریافت شده است.
در مرحله بعد، نرمافزار تمام لاگهای سیستم را با استفاده از دستورات PowerShell پاک کرده و پس از مدتی، RAR رمزگذاری شده بعدی را از "intelserviceupdate[.]com" بازیابی میکند.
بدافزار، وجود نرمافزار ضدویروس را بررسی کرده، ضمن جستجوی پروسههای متعلق به ماشینهای مجازی، از یک سری روالهای ضد شناسایی و ضد تحلیل برای دورزدن محصولات امنیتی استفاده میکند و در نهایت یک قاعده به مجموعه قواعد فایروال و یک استثنا به Windows Defender اضافه میکند، در نهایت یک بدافزار استخراجکننده رمزارز XMRig، کنترلر آن و یک فایل تنظیمات با پسوند «.sys» را بازیابی میکند.
طبق گزارش مرکز مدیریت راهبردی افتا، بدافزار بستری را که روی آن اجرا میشود، شناسایی کرده، سپس به سرور کنترل و فرماندهی خود (Command-and-Control – بهاختصار C۲) متصل شده و گزارش کامل سیستم قربانی را از طریق درخواستهای HTTP POST ارسال میکند. سرور مذکور، فرمانهایی همچون فعالسازی و تعیین میزان مصرف CPU، زمانبندی Ping مجدد به C۲ یا شناسایی راهکارهای امنیتی جهت دورزدن آنها را ارسال میکند.
منبع: خبرگزاری ایسنا برچسب ها: بدافزارها ، گوگل
منبع: ایران اکونومیست
کلیدواژه: بدافزارها گوگل برنامه ها سایت ها
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت iraneconomist.com دریافت کردهاست، لذا منبع این خبر، وبسایت «ایران اکونومیست» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۵۹۲۸۰۲۸ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
شوراها عرصه ظهور حضور مردم در حکمرانی هستند
فرماندار همدان ضمن قدردانی از تلاشها و زحمات اعضای شوراهای شهر و روستا گفت: بنا بر فرمایش امیرالمومنین در نهج البلاغه، مردم عماد دین هستند و ستون دین و ستون خیمه سیاست بدون حضور مردم ایستادگی نیست.
به گزارش خبرگزاری ایمنا از همدان، مسلم مخفی امروز _پنجشنبه سیزدهم اردیبهشت_ در جمع خبرنگاران اظهار کرد: توجه به حضور مردم در عرصههای مختلف یکی از اصول اساسی انقلاب اسلامی بوده و حضرت امام (ره) از زمانی که نهضت را شروع کرد و پس از آن در پیروزی انقلاب اسلامی و دوران دفاع مقدس و در تمام عرصههایی که توفیقی برای نظام اسلامی بوده توجه به حضور مردم داشتند.
وی حضور مردم را مهم و اثرگذار دانست و افزود: اکنون هم اگر احساس میشود که گاه دشمن با سیاه نمایی و ناامیدسازی قصد دارد مردم از میدان اصلی انقلاب کنار بروند، به دلیل آگاهی از نقش مؤثر مردم است.
فرماندار همدان ادامه داد: به همین علت، اگر مردم واقعاً بخواهند از حاکمیت جدا بشوند هزینه و خسارت زیادی برای کشور خواهد بود.
مخفی با اشاره نقش ویژه شوراها در مشارکتجویی مردم اضافه کرد: هرچه بررسی کنیم که کجا به سراغ مردم رفتیم تا مردم را در نظام و حکمرانی و کشورداری دخیل کنیم، هیچ جایی به اندازه شوراهای شهر و روستا این امر به منصه ظهور نرسیده است، به همین علت لازم است شوراها تقویت شده و آسیبشناسی شوند.
وی با بیان اینکه حضور مردم در عرصه از اهمیت زیادی برخوردار است، خاطرنشان کرد: اگر میبینیم برهههایی در کشور اقتصاد به مشکل تبدیل شده، به دلیل این است که مردم اینجا وارد نشدند، لذا در شعار سال مقام معظم رهبری تاکید بر مشارکت مردم است.
مخفی تصریح کرد: لذا کار شورا را نباید کم اهمیت بگیریم و تجربه بشری هم نشان داده هرجا مردم حضور داشته باشند حکمرانی و اداره جامعه به بهترین وجه و کمترین هزینه انجام میشود.
فرماندار همدان با اشاره به آنکه به اندازه کافی قانون در کشور داریم تا گره از کار مردم باز شود، گفت: در این مسیر و در کار شوراها، هرچه قدر بتوانیم از حاشیه کم کنیم و همگرایی و وحدت داشته باشیم با توجه به آیه یدالله مع الجماعه، توجه به قوانین و استفاده از ظرفیتهای قانونی، پیشرفت خواهیم کرد.
کد خبر 750181