بدافزارها برای سرقت پول رمزنگاری‌شده، آنتی‌ویروس‌ها را دور می‌زنند

یکی از کمپین‌های نوظهور با استفاده از نرم‌افزارهای مخرب می‌تواند روش شناسایی آنتی‌ویروس‌های قدیمی را برای خالی‌کردن کیف‌های ارز رمز‌نگاری‌شده دور بزند. این بدافزار دارک‌گیت (DarkGate) نام دارد که هفته‌ی گذشته آن را محققان امنیتی enSilo کشف کردند.

به گزارش تجارت‌نیوز، به‌گفته این گروه، بدافراز DarkGate هم‌اکنون با هدف‌قراردادن رایانه‌های ویندوزی مایکروسافت ازطریق فایل‌های تورنت، در اسپانیا و فرانسه در جریان است.

فایل‌های Torrent اغلب با محتوای پراکنده مرتبط هستند؛ اما خودِ فناوری غیرقانونی نیست و مصرف‌کنندگان و شرکت‌ها به‌طور یکسان از آن برای اشتراک‌گذاری فایل‌های حجیم می‌توانند استفاده کنند. بااین‌حال، فایل‌های آلوده‌ی تورنت به نسخه‌های پراکنده از سریال‌های تلویزیونی محبوب مانند مردگان متحرک (The Walking Dead) تغییر ظاهر می‌دهند.

بدافزار DarkGate از انواع روش‌های مخفیانه برای دورزدن آنتی‌ویروس‌های قدیمی استفاده می‌کند. ساختار کنترل و فرماندهی بدافزار (C2) که به اپراتورها اجازه‌ی ارسال دستورها ازراه‌دور و به بدافزار اجازه‌ی انتقال اطلاعات سرقت‌شده را می‌دهد، در تاریخچه‌ی خدمات قانونی DNS ثبت می‌شود که شامل Akamai CDN و AWS است.

با پنهان‌کردن ساختار کنترل و فرماندهی بدافزار (C2) در دامنه‌ی خدمات معتبر DNS، به بدافزار اجازه داده می‌شود تا از اعتبارسنجی خدمات مشکوک یا پلتفرم‌های بیگانه‌ی مرتبط‌با کمپین‌های بدافزاری و جنایی به سلامت عبور کند.

علاوه‌براین، دارک‌گیت از اقدام‌ها و بررسی‌های مبتنی بر فروشنده استفاده می‌کند؛ ازجمله روش شناخته‌شده‌ای به نام Process Hollowing برای جلوگیری از شناسایی‌شدن به‌وسیله‌ی نرم‌افزار AV. این روش به برنامه‌ی نرم‌افزاری قانونی نیاز دارد که در حالت تعلیق و فقط به‌عنوان محتوی فرایندهای مخرب باشد که پس از آن بتواند به‌جای برنامه‌ی بدون بدافزار عمل کند.

گفتنی است DarkGate به کمک محققان به‌منظور تجزیه‌وتحلیل نرم‌افزار مخرب و اطمینان از اینکه آیا نرم‌افزار مخرب در محیط آزمایشی قرار گرفته یا خیر و نیز برای سیستم‌های رایج AV همچون اَوست، بیت‌دیفندر، ترندمیکرو و کسپرسکی بررسی خواهد شد. این بدافزار همچنین از ابزارهای بازیابی برای جلوگیری از پاک‌شدن فایل‌هایی استفاده می‌کند که برای سازمان حیاتی هستند.

طبق گفته‌ی enSilo، سازنده‌ی بدافزار دارک‌گیت زمان و تلاش درخورتوجهی برای شناسایی‌ناپذیربودن آن صرف کرده است. همچنین، در طول آزمایش مشخص شد که بیشتر فروشنده‌های AV آن را نمی‌توانند شناسایی کنند. وقتی این برنامه اجرا شود، DarkGate دو روش پیشگیری از کنترل حساب کاربر را به‌منظور دستیابی به امتیازات سیستم، بارگیری، اجرای طیف وسیعی از بدافزارهای اضافی انجام خواهد داد.

منبع: زومیت