Dexphot، بدافزاری که به منظور استخراج ارز دیجیتالی طراحی شده است، بیش از ۸۰ هزار دستگاه را آلوده کرده و با استفاده از راهبردهای مختلفی توانسته است که شناسایی خود را مشکل کند.
شرکت مایکروسافت به کاربرانش در خصوص بدافزار Dexphot هشدار داد. این بدافزار پس از آلوده کردن رایانهها، با استفاده از توان CPU آنها اقدام به استخراج ارز دیجیتالی از سیستمهای آلوده میکند.
محققان، نخستینبار در اکتبر سال ۲۰۱۸ میلادی، بدافزار Dexphot را کشف کرده و در اواسط ماه جولای، با بالاترین میزان فعالیت آن روبرو شدند. بر اساس گفته محققان، این بدافزار زنجیره حملات پیچیدهای داشته و از روشهای مختلفی برای شناسایی نشدن استفاده میکند. از جمله روشهای آن میتوان به استفاده از اسکریپتهای مبهمی که برای بررسی توسط نرم افزارهای ضدویروس طراحی شدهاند و همچنین بهروزرسانی زمانبندی شده این بدافزار اشاره کرد.
Hazel Kim عضو تیم تحقیقات Microsoft Defender در پست خبری هفته گذشته خود بیان کرده است که: »هدف این بدافزار در چرخه جرایم سایبری بسیاری پرکاربرد است؛ نصب برنامه استخراج ارز دیجیتالی که به شکل مخفیانهای منابع رایانهای را سرقت کرده و سود آن نصیب حمله کننده میشود.Dexphot نمونهای است که سطح پیچیدگی بالایی داشته و نسبت به تهدیدهایی که به شکل روزمره قصد شکستن دیوار امنیتی را دارند، از تکامل بالاتری برخوردار است. این بدافزار تمایل دارد خارج از رادار و محدوده دید، کارش را انجام دهد تا بتواند در مدت طولانیتری سوددهی داشته باشد«.
محققان در مورد اولین مرحله انتشارDexphot چیزی نگفتهاند اما به نظر میرسد در طول اولین گام اجرا، این بدافزار ۵ فایل کلیدی را بر روی هارد دیسک سیستم ذخیره میکند. اغلب این فایلها به استثنای یکی از آنها که نصب کنندهای با دو آدرس URL است، فرایندهای قانونی هستند که شناسایی بدافزار را دشوار میکند.
این فرایندهای سیستمی قانونی عبارتند از msiexec.exe (برای نصب بستههایMSI در ادامه فرایند)، rundll32.exe (برای بارگذاری DLL که در ادامه کار، یک فایل فشرده دارای کلمه عبور را دانلود میکند)، unzip.exe (برای باز کردن فایل فشرده دارای رمز)، schtasks.exe (برای کارهای زمانبندی شده) و powershell.exe (برای بهروزرسانیهای اجباری).
فایل غیرقانونی (SoftwareBundler:Win32/ICLoader) در وهله نخست برای اجرای نصب کننده Dexphot مورد استفاده قرار میگیرد.
نصب کننده به محض اجرا، از دو URL موجود برای دانلود بارهای اضافه مخرب استفاده میکند. Dexphot نیز بعداً از این دو نشانی الکترونیکی برای ماندگاری، بهروزرسانی بدافزار و آلودهسازی دوباره سیستم بهره خواهد برد.
به گفته محققان، در ادامه »نصب کننده، بسته MSI را با استفاده از یکی از دو نشانی الکترونی گفته شده، دانلود کرده و msiexec.exe را به منظور نصب مخفیانه اجرا میکند«. »بستهDexphot اغلب حاوی اسکریپتهای دستهای مبهمی است. اگر این فایل درون بسته قرار داشته باشد، اولین چیزی که msiexec.exe با شروع فرایند نصب اجرا میکند، این اسکریپتها است«.
زنجیره حمله این بدافزار با راهاندازی یک استخراج کننده ارز دیجیتالی بر روی سیستم آلوده که منابع سیستمی را به منظور استخراج ارز دیجیتالی تخلیه میکند، پایان میپذیرد. سپس بدافزار، استخراجکنندهها را فعال میکند یا از XMRig یا JCE Miner. استفاده میکند.
فرار از شناسایی
محققان بر این باورند که Dexphot از روشهای پیچیدهای برای پنهان ماندن از راهکارهای شناسایی استفاده میکند. این روشها عبارتند از مبهمسازی چندلایهای، رمزنگاری و نامگذاری تصادفی فایلها به منظور مخفی کردن فرایند نصب.
بستهMSI نصب شده (که در بالا به آن اشاره شد)، اسکریپتهای مبهمی را در خود جای داده است که برای بررسیهای نرمافزاری ضدویروس طراحی شدهاند (ضدویروسهایی همچون Windows Defender، Avast و AVG) و اگر نرم افزار ضدویروس بتواند برنامه در حال اجرا را شناسایی کند، فرایند آلودهسازی را فوراً متوقف میکند.
طبق گفته این محققان، Dexphot در صورت عدم توقف، یک استخراجکننده ارز دیجیتالی با سرویسهای نظارتی و کارهای زمانبندی شده را بر روی دستگاه ایجاد میکند تا در صورت مشاهده هرگونه اقدامی برای پاک کردن بدافزار، مجدداً فرایند آلوده-سازی را راهاندازی کند.
»دو سرویس نظارتی، به صورت همزمان وضعیت سه فرایند مخرب را زیر نظر میگیرند. علت داشتن دو سرویس نظارتی در کنار هم این است که در صورت توقف یکی، دیگری کار را ادامه دهد. چنانچه هر یک از این فرایندها خاتمه یابد، سرویس نظارتی وضعیت را شناسایی کرده، تمام فرایندهای مخرب باقیمانده را خاتمه میدهد و دستگاه را دوباره آلوده میکند«.
در نهایت، این بدافزار از فرایند ایجاد حفره استفاده میکند (یک روش متداول که توسط مجرمان سایبری جهت پنهان کردن بدافزار در فرایندهای یک سیستم قانونی استفاده میشود. در این روش، محتوای فرایند با کد مخربی جایگزین میشود) تا فایلهای اجرایی را درون سیستم آلوده بارگذاری کند.
محققان بیان کردند که: »چنین روشی این مزیت را دارد که فاقد فایل است و کد میتواند بدون نیاز به ذخیره شدن در سیستم فایل اجرا شود. بنابراین نه تنها شناسایی این کد مخرب در زمان اجرا دشوارتر است بلکه پیدا کردن شواهد نفوذ و مصرف منابع سیستم پس از توقف فرایند نیز به مراتب سختتر خواهد بود«.
پس از ماه جولای که بدافزار بیش از ۸۰۰۰۰ دستگاه را آلوده کرد، گزارشها حاکی از کاهش سطح فعالیت این بدافزار به پایینترین سطح است. محققان میگویند Dexphot جز آن دسته از حملاتی نیست که توجه رسانهها را به خود جلب کند. این بدافزار یکی از بیشمار حملات بدافزاری است که در هر زمانی ممکن است دوباره فعال شده و فعالیت خود را از سر گیرد.