گروگان‌گیری 80 هزار رایانه برای استخراج ارز دیجیتال توسط بدافزار Dexphot

Dexphot، بدافزاری که به منظور استخراج ارز دیجیتالی طراحی شده است، بیش از ۸۰ هزار دستگاه را آلوده کرده و با استفاده از راهبردهای مختلفی توانسته است که شناسایی خود را مشکل کند.
شرکت مایکروسافت به کاربرانش در خصوص بدافزار Dexphot هشدار داد. این بدافزار پس از آلوده کردن رایانه‌ها، با استفاده از توان CPU آنها اقدام به استخراج ارز دیجیتالی از سیستم‌های آلوده می‌کند.
محققان، نخستین‌بار در اکتبر سال ۲۰۱۸ میلادی، بدافزار Dexphot را کشف کرده و در اواسط ماه جولای، با بالاترین میزان فعالیت آن روبرو شدند. بر اساس گفته محققان، این بدافزار زنجیره حملات پیچیده‌ای داشته و از روش‌های مختلفی برای شناسایی نشدن استفاده می‌کند. از جمله روش‌های آن می‌توان به استفاده از اسکریپت‌های مبهمی که برای بررسی توسط نرم افزارهای ضدویروس طراحی شده‌اند و همچنین به‌روزرسانی زمان‌بندی شده این بدافزار اشاره کرد.
Hazel Kim عضو تیم تحقیقات Microsoft Defender در پست خبری هفته گذشته خود بیان کرده است که: »هدف این بدافزار در چرخه جرایم سایبری بسیاری پرکاربرد است؛ نصب برنامه استخراج ارز دیجیتالی که به شکل مخفیانه‌ای منابع رایانه‌ای را سرقت کرده و سود آن نصیب حمله کننده می‌شود.Dexphot نمونه‌ای است که سطح پیچیدگی بالایی داشته و نسبت به تهدیدهایی که به شکل روزمره قصد شکستن دیوار امنیتی را دارند، از تکامل بالاتری برخوردار است. این بدافزار تمایل دارد خارج از رادار و محدوده دید، کارش را انجام دهد تا بتواند در مدت طولانی‌تری سوددهی داشته باشد«.
محققان در مورد اولین مرحله انتشارDexphot چیزی نگفته‌اند اما به نظر می‌رسد در طول اولین گام اجرا، این بدافزار ۵ فایل کلیدی را بر روی هارد دیسک سیستم ذخیره می‌کند. اغلب این فایل‌ها به استثنای یکی از آنها که نصب کننده‌ای با دو آدرس URL است، فرایندهای قانونی هستند که شناسایی بدافزار را دشوار می‌کند.
این فرایندهای سیستمی قانونی عبارتند از msiexec.exe (برای نصب بسته‌هایMSI در ادامه فرایند)، rundll32.exe (برای بارگذاری DLL که در ادامه کار، یک فایل فشرده دارای کلمه عبور را دانلود می‌کند)، unzip.exe (برای باز کردن فایل فشرده دارای رمز)، schtasks.exe (برای کارهای زمان‌بندی شده) و powershell.exe (برای به‌روزرسانی‌های اجباری).

فایل غیرقانونی (SoftwareBundler:Win32/ICLoader) در وهله نخست برای اجرای نصب کننده Dexphot مورد استفاده قرار می‌گیرد.
نصب کننده به محض اجرا، از دو URL موجود برای دانلود بارهای اضافه مخرب استفاده می‌کند. Dexphot نیز بعداً از این دو نشانی الکترونیکی برای ماندگاری، به‌روزرسانی بدافزار و آلوده‌سازی دوباره سیستم بهره خواهد برد.
به گفته محققان، در ادامه »نصب کننده، بسته MSI را با استفاده از یکی از دو نشانی الکترونی گفته شده، دانلود کرده و msiexec.exe را به منظور نصب مخفیانه اجرا می‌کند«. »بستهDexphot اغلب حاوی اسکریپت‌های دسته‌ای مبهمی است. اگر این فایل درون بسته قرار داشته باشد، اولین چیزی که msiexec.exe با شروع فرایند نصب اجرا می‌کند، این اسکریپت‌ها است«.
زنجیره حمله این بدافزار با راه‌اندازی یک استخراج کننده ارز دیجیتالی بر روی سیستم آلوده که منابع سیستمی را به منظور استخراج ارز دیجیتالی تخلیه می‌کند، پایان می‌پذیرد. سپس بدافزار، استخراج‌کننده‌ها را فعال می‌کند یا از XMRig یا JCE Miner. استفاده می‌کند.
فرار از شناسایی
محققان بر این باورند که Dexphot از روش‌های پیچیده‌ای برای پنهان ماندن از راهکارهای شناسایی استفاده می‌کند. این روش‌ها عبارتند از مبهم‌سازی چندلایه‌ای، رمزنگاری و نام‌گذاری تصادفی فایل‌ها به منظور مخفی کردن فرایند نصب.
بستهMSI نصب شده (که در بالا به آن اشاره شد)، اسکریپت‌های مبهمی را در خود جای داده است که برای بررسی‌های نرم‌افزاری ضدویروس طراحی شده‌اند (ضدویروس‌هایی همچون Windows Defender، Avast و AVG) و اگر نرم افزار ضدویروس بتواند برنامه در حال اجرا را شناسایی کند، فرایند آلوده‌سازی را فوراً متوقف می‌کند.
طبق گفته این محققان، Dexphot در صورت عدم توقف، یک استخراج‌کننده ارز دیجیتالی با سرویس‌های نظارتی و کارهای زمان‌بندی شده را بر روی دستگاه ایجاد می‌کند تا در صورت مشاهده هرگونه اقدامی برای پاک کردن بدافزار، مجدداً فرایند آلوده-سازی را راه‌اندازی کند.
»دو سرویس نظارتی، به صورت هم‌زمان وضعیت سه فرایند مخرب را زیر نظر می‌گیرند. علت داشتن دو سرویس نظارتی در کنار هم این است که در صورت توقف یکی، دیگری کار را ادامه دهد. چنانچه هر یک از این فرایندها خاتمه یابد، سرویس نظارتی وضعیت را شناسایی کرده، تمام فرایندهای مخرب باقیمانده را خاتمه می‌دهد و دستگاه را دوباره آلوده می‌کند«.
در نهایت، این بدافزار از فرایند ایجاد حفره استفاده می‌کند (یک روش متداول که توسط مجرمان سایبری جهت پنهان کردن بدافزار در فرایندهای یک سیستم قانونی استفاده می‌شود. در این روش، محتوای فرایند با کد مخربی جایگزین می‌شود) تا فایل‌های اجرایی را درون سیستم آلوده بارگذاری کند.
محققان بیان کردند که: »چنین روشی این مزیت را دارد که فاقد فایل است و کد می‌تواند بدون نیاز به ذخیره شدن در سیستم فایل اجرا شود. بنابراین نه تنها شناسایی این کد مخرب در زمان اجرا دشوارتر است بلکه پیدا کردن شواهد نفوذ و مصرف منابع سیستم پس از توقف فرایند نیز به مراتب سخت‌تر خواهد بود«.
پس از ماه جولای که بدافزار بیش از ۸۰۰۰۰ دستگاه را آلوده کرد، گزارش‌ها حاکی از کاهش سطح فعالیت این بدافزار به پایین‌ترین سطح است. محققان می‌گویند Dexphot جز آن دسته از حملاتی نیست که توجه رسانه‌ها را به خود جلب کند. این بدافزار یکی از بی‌شمار حملات بدافزاری است که در هر زمانی ممکن است دوباره فعال شده و فعالیت خود را از سر گیرد.