بدافزارها برای سرقت پول رمزنگاریشده، آنتیویروسها را دور میزنند
آنتیویروسهای قدرتمند درمقابلهبا Darkgate، بدافزار سرقت ارز رمزنگاریشده عاجز ماندهاند.
یکی از کمپینهای نوظهور با استفاده از نرمافزارهای مخرب میتواند روش شناسایی آنتیویروسهای قدیمی را برای خالیکردن کیفهای ارز رمزنگاریشده دور بزند. این بدافزار دارکگیت (DarkGate) نام دارد که هفتهی گذشته آن را محققان امنیتی enSilo کشف کردند.
به گزارش تجارتنیوز، بهگفته این گروه، بدافراز DarkGate هماکنون با هدفقراردادن رایانههای ویندوزی مایکروسافت ازطریق فایلهای تورنت، در اسپانیا و فرانسه در جریان است.
فایلهای Torrent اغلب با محتوای پراکنده مرتبط هستند؛ اما خودِ فناوری غیرقانونی نیست و مصرفکنندگان و شرکتها بهطور یکسان از آن برای اشتراکگذاری فایلهای حجیم میتوانند استفاده کنند. بااینحال، فایلهای آلودهی تورنت به نسخههای پراکنده از سریالهای تلویزیونی محبوب مانند مردگان متحرک (The Walking Dead) تغییر ظاهر میدهند.
بدافزار DarkGate از انواع روشهای مخفیانه برای دورزدن آنتیویروسهای قدیمی استفاده میکند. ساختار کنترل و فرماندهی بدافزار (C2) که به اپراتورها اجازهی ارسال دستورها ازراهدور و به بدافزار اجازهی انتقال اطلاعات سرقتشده را میدهد، در تاریخچهی خدمات قانونی DNS ثبت میشود که شامل Akamai CDN و AWS است.
با پنهانکردن ساختار کنترل و فرماندهی بدافزار (C2) در دامنهی خدمات معتبر DNS، به بدافزار اجازه داده میشود تا از اعتبارسنجی خدمات مشکوک یا پلتفرمهای بیگانهی مرتبطبا کمپینهای بدافزاری و جنایی به سلامت عبور کند.
علاوهبراین، دارکگیت از اقدامها و بررسیهای مبتنی بر فروشنده استفاده میکند؛ ازجمله روش شناختهشدهای به نام Process Hollowing برای جلوگیری از شناساییشدن بهوسیلهی نرمافزار AV. این روش به برنامهی نرمافزاری قانونی نیاز دارد که در حالت تعلیق و فقط بهعنوان محتوی فرایندهای مخرب باشد که پس از آن بتواند بهجای برنامهی بدون بدافزار عمل کند.
گفتنی است DarkGate به کمک محققان بهمنظور تجزیهوتحلیل نرمافزار مخرب و اطمینان از اینکه آیا نرمافزار مخرب در محیط آزمایشی قرار گرفته یا خیر و نیز برای سیستمهای رایج AV همچون اَوست، بیتدیفندر، ترندمیکرو و کسپرسکی بررسی خواهد شد. این بدافزار همچنین از ابزارهای بازیابی برای جلوگیری از پاکشدن فایلهایی استفاده میکند که برای سازمان حیاتی هستند.
طبق گفتهی enSilo، سازندهی بدافزار دارکگیت زمان و تلاش درخورتوجهی برای شناساییناپذیربودن آن صرف کرده است. همچنین، در طول آزمایش مشخص شد که بیشتر فروشندههای AV آن را نمیتوانند شناسایی کنند. وقتی این برنامه اجرا شود، DarkGate دو روش پیشگیری از کنترل حساب کاربر را بهمنظور دستیابی به امتیازات سیستم، بارگیری، اجرای طیف وسیعی از بدافزارهای اضافی انجام خواهد داد.
منبع: زومیت
نظرات