اضافه‌شدن قابلیت کاوش ارز رمزنگاری‌شده به باج‌افزار Rakhni

سه‌شنبه ۱۹ تیر ۱۳۹۷
محققان امنیتی، یک قطعه‌ی جالب از بدافزاری را کشف کرده‌اند که با بررسی تنظیمات سیستم، آن‌را یا با یک کاوشگر ارز رمزنگاری‌شده یا با یک باج‌افزار آلوده می‌کند..
مرکز آپا شریف
SUT-APA-LOGO

محققان امنیتی، یک قطعه‌ی جالب از بدافزاری را کشف کرده‌اند که با بررسی تنظیمات سیستم، آن‌را یا با یک کاوشگر ارز رمزنگاری‌شده یا با یک باج‌افزار آلوده می‌کند.
باج‌افزار نوعی بدافزار است که رایانه را قفل می‌کند و از دسترسی کاربر به داده‌های رمزنگاری‌شده جلوگیری می‌کند، تا زمانی که کاربر، باجی را برای دریافت کلید مورد نیاز برای رمزگشایی فایل‌های خود پرداخت کند. این در حالی است که کاوشگر ارز رمزنگاری‌شده، از قدرت پردازنده‌ی سیستم آلوده برای کاوش ارزهای دیجیتال استفاده می‌کند.
از آنجا که قفل‌کردن رایانه برای دریافت باج، همیشه بازپرداخت را تضمین نمی‌کند (چرا که ممکن است قربانیان چیزی برای از دست دادن نداشته باشند)، از این‌رو در ماه‌های گذشته، مجرمان سایبری بیشتر به کاوشگر ارز رمزنگاری‌شده برای استخراج پول از طریق رایانه‌ی قربانیان روی آورده‌اند.
محققان شرکت امنیتی کسپرسکی، یک نوع جدید از خانواده‌ی باج‌افزار Rakhni را کشف کرده‌اند که در حال حاضر ارتقا یافته است تا توانایی کاوش ارز رمزنگاری‌شده را نیز داشته باشد.
بدافزار Rakhni به زبان برنامه‌نویسی دلفی نوشته شده است و با استفاده از سند مایکروسافت ورد ضمیمه‌شده در پست‌های الکترونیکی فیسبوک گسترش می‌یابد که اگر باز شود، قربانی را وادار می‌کند تا سند را ذخیره و ویرایش را فعال کند.
این سند، حاوی یک آیکون PDF است که اگر روی آن کلیک شود، یک فایل دانلودکننده بر روی رایانه‌ی قربانی اجرا می‌شود و بلافاصله پس از اجرا، پیامی جعلی را نشان می‌دهد و قربانیان را فریب می‌دهد که فایلی برای بازکردن سند وجود ندارد.
Rakhni پس از اجرا، مجموعه‌ای از بررسی‌ها را برای تعیین محیط اجرای خود انجام می‌دهد تا یک کلید رجیستری ایجاد کند و تعداد پردازش‌ها، نام رایانه و آدرس IP را بررسی کند.
پس از اتمام بررسی‌ها (بیش از 200 بررسی)، این تهدید از ابزار “CertMgr.exe” برای نصب گواهینامه‌های جعلی ریشه استفاده می‌کند و ادعا می‌کند توسط “Microsoft Corporation” و “Adobe Systems Incorporated” صادر شده‌ است تا فرایند مخرب خود را در سیستم پنهان کند. این بدافزار همچنین وجود برنامه‌های ضدویروس در سیستم را بررسی می‌کند و می‌تواند Windows Defender را غیرفعال سازد. این دانلودکننده سپس وجود پوشه‌ی “%AppData%\Bitcoin” را در دستگاه بررسی می‌کند و اگر وجود داشته باشد، رمزنگار را وارد می‌نماید. اگر این پوشه وجود نداشته و بیش از دو پردازنده‌ی منطقی وجود داشته باشد، کاوشگر را وارد می‌کند. اگر پوشه وجود نداشته باشد و فقط یک پردازنده‌ی منطقی وجود داشته باشد، بدافزار حالت کرم را فعال می کند.
رمزنگار، با اجرای مجموعه‌‌ای از بررسی‌های خود بر روی دستگاه، به بیش از 60 فرایند خاتمه می‌دهد و تنها زمانی رمزنگاری را آغاز می‌کند که سیستم برای مدت 2 دقیقه بیکار باشد. این بدافزار که حدود 200 نوع فایل را برای رمزنگاری هدف قرار می‌دهد، از الگوریتم رمزنگاری “RSA-1024” استفاده و پسوند “.neitrino” را به فایل‌های آسیب‌دیده اضافه می‌کند.
کاوشگر این بدافزار، یک اسکریپت “VBS” تولید می‌کند که بعد از راه‌اندازی مجدد سیستم اجرا می‌شود و شامل دو دستور برای کاوش ارزهای “Monero” و “Monero Original” است. درصورتی که پوشه‌ی نصب به‌طور مستقیم حاوی فایل “svchost.exe” باشد، این بدافزار آن‌را برای کاوش “Dashcoin” اجرا می‌کند.
محققان در آزمایشگاه کسپرسکی متوجه شدند که این بدافزار، پست‌های الکترونیکی را به یک آدرس به‌صورت سخت‌افزاری کدگذاری‌شده ارسال می‌کند تا اطلاعات مهم مانند نام رایانه، آدرس IP، مسیر بدافزار در سیستم، زمان و تاریخ ایجاد بدافزار را به‌همراه اطلاعات دقیق در مورد آلودگی، به مهاجم ارایه دهد.
این دانلودکننده همچنین تلاش می‌کند تا در رایانه‌های دیگر در شبکه‌ی محلی پخش شود. برای این کار، لیستی از اشتراک‌گذاری‌های شبکه را دریافت می‌کند و سپس اشتراک‌گذاری پوشه‌ی “Users” را در هر رایانه بررسی می‌کند تا خود را در پوشه‌ی “Startup” هر کاربر قابل دسترس کپی کند.
این بدافزار همچنین یک فایل دسته‌ای برای حذف تمام فایل‌های موقت استفاده‌شده در هنگام آلودگی ایجاد می‌کند. به گفته‌ی محققان، یکی دیگر از ویژگی‌های جالب این بدافزار، قابلیت‌های جاسوسی آن است. پیام‌های ارسالی این بدافزار به مهاجم، حاوی لیستی از فرایندهای در حال اجرا و یک پیوست از تصویر میزکار است. این نوع بدافزار عمدتاً کاربران در روسیه (5/95 درصد) را هدف قرار می‌دهد و تعداد کمی از این آلودگی‌ها در قزاقستان (36/1 درصد)، اوکراین (57/0 درصد)، آلمان (49/0 درصد) و هند (41/0 درصد) مشاهده شده‌اند.
بهترین راه برای جلوگیری از چنین حملاتی، بازنکردن فایل‌های مشکوک و لینک‌ها در یک پست الکترونیکی است. همچنین کاربران همیشه باید یک نسخه‌ی پشتیبان تهیه کنند و نرم‌افزار ضدویروس خود را به‌روز نگه دارند.