انتشار بدافزار استخراج‌کننده رمزارز در قالب Google Translate Desktop

به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، مهاجمان بدافزارهای استخراج‌کننده ارز دیجیتالی را از طریق سایت‌هایی همچون Nitrokod ،Softpedia و Uptodown منتشر می‌کنند که مدعی ارائه نرم‌افزارهای رایگان و ایمن هستند و در نگاه اول به نظر می‌رسد این برنامه‌ها فاقد هرگونه کد بدافزاری‌اند و عملکرد تبلیغ‌شده را ارائه می‌کنند.

اکثر برنامه‌های آلوده به این بدافزار، در ظاهر نرم‌افزارهای محبوبی هستند که نسخه رسمی دسکتاپ ندارند. به‌ عنوان‌ مثال، محبوب‌ترین برنامه Nitrokod نسخه دسکتاپ Google Translate است که علاوه بر سایت Nitrokod در Softpedia نیز بارگذاری شده و این در حالی است که گوگل، نسخه رسمی دسکتاپ Translate را منتشر نکرده است.

این برنامه‌های آلوده علاوه بر بازدیدکنندگان معمولی سایت‌ها، در معرض نمایش موتورهای جست‌وجو نیز قرار می‌گیرند. متاسفانه، پیشنهادها و تبلیغ Nitrokod برای این نرم‌افزارها در نتایج جست‌وجوی Google رتبه بالایی دارد و این سایت طعمه‌ای عالی برای کاربرانی است که دنبال ابزاری خاص هستند. هنگامی که کاربران نسخه دسکتاپ Google Translate را جست‌وجو می‌کنند، به‌سرعت به سایت‌های مذکور هدایت می‌شوند.

محققان در گزارشی اعلام کرده‌اند این بدافزار پس از نصب، اجرای کد مخرب را تا یک ماه به تاخیر می‌اندازد تا راهکارهای امنیتی نتوانند آن را شناسایی کنند.

بدافزار وجود نرم‌افزار ضدویروس را بررسی می‌کند، ضمن جست‌وجوی پروسه‌های متعلق به ماشین‌های مجازی، از یکسری روال‌های ضدشناسایی و ضدتحلیل برای دور زدن محصولات امنیتی استفاده و در نهایت یک قاعده به مجموعه قواعد فایروال و یک استثنا به Windows Defender اضافه می‌‌کند.

راهبران امنیتی، کارشناسان و متخصصان IT سازمان‌ها و دستگاه‌های دارای زیرساخت حیاتی می‌توانند با مراجعه به پایگاه اینترنتی مرکز مدیریت راهبردی افتا ضمن آشنایی با نشانه‌های آلودگی این بدافزار، خبر تخصصی و فنی چگونگی انتشار بدافزار استخراج‌کننده رمزارز در قالب Google Translate Desktop را مطالعه کنند.