کمیته رکن چهارم – در حالی که نسخههای قدیمی کیت sundown از مکانیزمهای ویژه به منظور پنهانسازی فعالیتهای خرابکارانه در قالب فایلهای تصویری استفاده میکردند در نسخه جدید از یک صفحه ساده جاوااسکریپت استفاده شده است.
به گزارش کمیته رکن چهارم،در کیتهای قبلی از الگوی درهمسازی استفاده میشد ولی در نسخه جدید خبری از این تکنیکها نیست. در حالی که این کیت بهرهبرداری روی سایتهای مختلفی میزبانی میشود، اما آدرس IP تمامی این سایتها یکسان است. به همین دلیل کارشناسان شرکت MalwareBytes گفتهاند که به نظر میرسد تنها یک نفر در ارتباط با این کیت مشغول به کار است و به همین دلیل تلاش آنچنانی به منظور پنهانسازی این کیت اکسپلویت از خود نشان نمیدهد.
الگوی رفتاری این کیت نشان میدهد زمانی که روی ماشین قربانی نصب میشود، سعی میکند خودش را در قالب یکی از فرآیندهای رایج ویندوز همچون Windows Backup به کاربر نشان دهد تا او را فریب دهد. در ادامه سعی میکند به اینترنت متصل شده و دستورالعملهای موردنیاز برای استخراج ارز را دانلود کند. دادههایی که دانلود میشوند در قالب فایل فشرده UPX دریافت میشوند. این برنامه با یک حساب کاربری در سایت Pastebin به نام LoveMonero و همچنین حساب کاربری با همین نام در گیتهاب در ارتباط است. هکر(ها) با استفاده از این ابزار تنها میتوانند ارز مجازی Monero و نه بیتکوین را برداشت کنند. MalwareByte در این ارتباط گفته است: «انتخاب این ارز یک انتخاب هوشمندانه بوده است. به واسطه آنکه مخزن مربوط به تراکنشهای ارز مجازی بیتکوین بیشتر و بیشتر اشباع شدهاند و همین موضوع استخراج آنها را بیش از پیش سختتر و پیچیدهتر کرده است. اما در مقابل Monero ارز نوپایی است که در ابتدای راه خود قرار دارد.»
کدهای این کیت استخراج کننده در گیتهاب قرار گرفتهاند. جالب آنکه فایلهای مربوط به این کیت استخراج کننده به طور پیوسته و منظم از سوی هکر(ها) بهروزرسانی میشود. مخزنی که برای این کیت استخراج کننده در گیتهاب ساخته شده است حاوی لینکهایی است که به منظور اسکن و دانلود بدافزار مورد استفاده قرار میگیرند. پژوهشگران Malwarebytes اطلاع پیدا کردهاند که این پروژه بر مبنای یک پروژه متنباز برداشت ارزهای مجازی موسوم به ccminer-cryptonight پایهگذاری شده و تنها چند تغییر جزیی در اصل پروژه به وقوع پیوسته است.
Malwarebytes گفته است: «طراحی این کیت کاملا عجیب است. به دلیل اینکه کاملا غیر حرفهای بوده و ردپاهای زیادی از طراح و حساب کاربری او در گیتهاب وجود دارد. همین موضوع نشان میدهد که طراح این بدافزار یک فرد مبتدی بوده است. با توجه به اینکه چند وقتی است سورس کدهای مربوط به بدافزارها و باجافزارهای معروفی همچون ابزار پیادهسازی حمله توزیع شده (Mirai) و ابزار باجافزارنویسی همچون HiddenTear و Eda2 به طور عمومی در دسترس همه کاربران قرار گرفته است، ما هر روزه شاهد آن هستیم که هر کاربر مبتدی تصمیم میگیرد این کدها را دانلود کرده و فرآیند بدافزارنویسی را آزمایش کند.»
منبع:رسانه خبری امنیت اطلاعات