بدافزارها برای سرقت پول رمزنگاری‌شده، آنتی‌ویروس‌ها را دور می‌زنند

کمیته رکن چهارم – آنتی‌ویروس‌های قدرتمند درمقابله‌با Darkgate، بدافزار سرقت ارز رمزنگاری‌شده عاجز مانده‌اند.

یکی از کمپین‌های نوظهور با استفاده از نرم‌افزارهای مخرب می‌تواند روش شناسایی آنتی‌ویروس‌های قدیمی را برای خالی‌کردن کیف‌های ارز رمز‌نگاری‌شده دور بزند. این بدافزار دارک‌گیت (DarkGate) نام دارد که هفته‌ی گذشته آن را محققان امنیتی enSilo کشف کردند.

به‌گفته این گروه، بدافراز DarkGate هم‌اکنون با هدف‌قراردادن رایانه‌های ویندوزی مایکروسافت ازطریق فایل‌هایتورنت، در اسپانیا و فرانسه در جریان است. فایل‌های Torrent اغلب با محتوای پراکنده مرتبط هستند؛ اما خودِ فناوری غیرقانونی نیست و  مصرف‌کنندگان و شرکت‌ها به‌طور یکسان از آن برای اشتراک‌گذاری فایل‌های حجیم می‌توانند استفاده کنند. بااین‌حال، فایل‌های آلوده‌ی تورنت به نسخه‌های پراکنده از سریال‌های تلویزیونی محبوب مانند مردگان متحرک (The Walking Dead) تغییر ظاهر می‌دهند.

بدافزار DarkGate از انواع روش‌های مخفیانه برای دورزدن آنتی‌ویروس‌های قدیمی استفاده می‌کند. ساختار کنترل و فرماندهی بدافزار (C2) که به اپراتورها اجازه‌ی ارسال دستورها ازراه‌دور و به بدافزار اجازه‌ی انتقال اطلاعات سرقت‌شده را می‌دهد، در تاریخچه‌ی خدمات قانونی DNS ثبت می‌شود که شامل Akamai CDN و AWS است.

با پنهان‌کردن ساختار کنترل و فرماندهی بدافزار (C2) در دامنه‌ی خدمات معتبر DNS، به بدافزار اجازه داده می‌شود تا از اعتبارسنجی خدمات مشکوک یا پلتفرم‌های بیگانه‌ی مرتبط‌با کمپین‌های بدافزاری و جنایی به سلامت عبور کند. علاوه‌براین، دارک‌گیت از اقدام‌ها و بررسی‌های مبتنی بر فروشنده استفاده می‌کند؛ ازجمله روش شناخته‌شده‌ای به نام Process Hollowing برای جلوگیری از شناسایی‌شدن به‌وسیله‌ی نرم‌افزار AV. این روش به برنامه‌ی نرم‌افزاری قانونی نیاز دارد که در حالت تعلیق و فقط به‌عنوان محتوی فرایندهای مخرب باشد که پس از آن بتواند به‌جای برنامه‌ی بدون بدافزار عمل کند.

گفتنی است DarkGate به کمک محققان به‌منظور تجزیه‌وتحلیل نرم‌افزار مخرب و اطمینان از اینکه آیا نرم‌افزار مخرب در محیط آزمایشی قرار گرفته یا خیر و نیز برای سیستم‌های رایج AV همچون اَوست، بیت‌دیفندر، ترندمیکروو کسپرسکی بررسی خواهد شد. این بدافزار همچنین از ابزارهای بازیابی برای جلوگیری از پاک‌شدن فایل‌هایی استفاده می‌کند که برای سازمان حیاتی هستند.

طبق گفته‌ی enSilo، سازنده‌ی بدافزار دارک‌گیت زمان و تلاش درخورتوجهی برای شناسایی‌ناپذیربودن آن صرف کرده است. همچنین، در طول آزمایش مشخص شد که بیشتر فروشنده‌های AV آن را نمی‌توانند شناسایی کنند. وقتی این برنامه اجرا شود، DarkGate دو روش پیشگیری از کنترل حساب کاربر را به‌منظور دستیابی به امتیازات سیستم، بارگیری، اجرای طیف وسیعی از بدافزارهای اضافی انجام خواهد داد.

این مجموعه به دارک‌گیت توانایی‌هایی ازاین‌دست می‌دهد: سرقت اعتبار نامه‌های مربوط‌به کیف پول‌های رمز‌نگاری‌نشده‌ی قربانی، بارگیری مجدد باج‌افزار، ایجاد مسیر دسترسی ازراه‌دور برای اپراتورها به‌منظور ربودن سیستم و انجام عملیات پنهانی استخراج پول رمز‌نگاری‌شده.

بنابر گفته‌ی enSilo، ساختار کنترل و فرماندهی بدافزار (C2) را عوامل انسانی هنگام نصب ابزارهای دسترسیِ ازراه‌دورِ لازم برای تسویه پول نقد مجازی کنترل می‌کند. پژوهشگران enSilo در آینده انتظار دارند این بدافزار به‌تکامل برسد. شواهد حاکی از آن است که DarkGate با Golroted، خانواده‌ی بدافزار سرقت رمز، درارتباط است. این دو بدافزار از روش‌های مشابه Process Hollowing و UAC استفاده می‌کند.

طبق گفته‌ی این گروه، واضح است که DarkGate درحال‌توسعه است؛ چون با هر نسخه‌ی جدید بهبود می‌یابد. درحالی‌که استخراج پول رمز‌نگاری‌شده و سرقت پول و توانایی‌های باج‌افزار هدف را کسب سود مالی می‌دانند، سایر انگیزه‌های سازنده‌ی آن مبهم است. برای پی‌بردن به انگیزه‌های اصلی و پنهانی بدافزار تحقیقات بیشتری لازم است.

منبع : زومیت