گروه نفوذ CodeFork پویش غیر قابل شناسایی را برای استخراج مونرو راه‌اندازی می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گروه نفوذگران معروف به CodeFork  پویشی راه‌اندازی کرده‌اند که از ویژگی‌های آن می‎توان به فرار پیشرفته با پرونده کمتر و روش‌های ماندگاری پیشرفته و همچنین یک ماژول جدید استخراج‌کننده ارز مونرو اشاره کرد.

بر اساس گزارش گروه تحقیقاتی بدافزار Radware، این گروه از آلودگی‌ها برای فروش خدماتی مانند انتشار هرزنامه‌ها، کرم‌ها و ابزارهای بارگیری و احتمالا دزدی اطلاعاتی استفاده‌می‌کند.

Radware در یک تحلیل گفت: «CodeFork یک گروه هوشیار است که به طور پنهانی سرمایه‌گذاری می‌کند و معمولا از زیر رادار سامانه‌های دفاعی سنتی مانند سندباکس، پویش‌گرهای ضمیمه ایمیل، IDS/IPS، دروازه‌های امن وب و راهکارهای مختلف حفاظت از نقاط انتهایی به صورت مخفیانه حرکت می‌کنند. آنها از مزایای سیستم‌عامل ویندوز برای فرایند نصب استفاده می‌کنند و هیچ ردی را روی دیسک به جا نمی‌گذارند.»

پویش فعلی درنهایت یک نسخه سفارشی از بدافزار Gamarue است. Gamarue یک بدافزار ماژول‌بندی شده‌است که در راه‌اندازی اولیه به عنوان یک ابزار بارگیری عمل می‌کند. با این حال در آخرین پویش دیده‌می‌شود که قطعات دیگر کد برای انجام وظایف مختلف واکشی می‌شود. این شامل یک ماژول آلوده‌کننده یواس‌بی، یک تابع برای ارسال هرزنامه‌ و یک رفتار جدید برای استخراج مونرو است.

علی رغم همه این‌ها، داشتن پرونده کمتر، بدین معنی است که لزوما هیچ پرونده مشکوکی روی دیسک ذخیره نمی‌شود و این به مهاجمان اجازه می‌دهد بدون اینکه شناسایی شوند به مدت طولانی‌تری در ماشین آلوده باقی بمانند. همچنین این پویش از یک الگوریتم تولید دامنه (DGA) استفاده می‌کند تا برای هر هفته یک دامنه جدید تولید کند.

Radware خاطرنشان کرد: « این روش شناسایی و مسدود کردن ارتباطات خارج از محدوده به کارگزار دستور و کنترل را برای راهکارهای امنیتی مانند دیواره‌های آتش نسل بعدی (NGFWs) و دروازه‌های وب امن دشوارتر می‌کند. پس از ایجاد دامنه، یک درخواست HTTPS GET برای بارگیری یک پوشه مخرب ارسال می‌شود که به عنوان خزنده Googlebot شناخته‌می‌شود. توجه داشته‌باشید که این احتمالا یک نسخه پشتیبان یا یک طرز کار برای بهینه‌سازی است، زیرا این بدافزار تلاش می‌کند تا به دامنه‌های ثبت‌نشده و یا به پوشه‌های مخربی که در کارگزار دستور و کنترل وجود ندارند، دسترسی پیدا کند.»

Radware گفت: «استفاده از بدافزار Gamarue نقطه تمایز برای گروه CodeFork بوده‌است. به‌دلیل تعداد نصب‌ها، همراه با همه‌کاره بودن بدافزار، CodeFork به راحتی می‌تواند با فروختن این بدافزار به نفوذگران دیگر که می‌توانند با توسعه ماژول‌های دلخواه خود این بدافزار را تکمیل کنند به کسب درآمد بپردازد. گروه CodeFork قطعا تلاش خواهد کرد تا ابزارهای خود را توزیع کند و راه‌های جدیدی را برای دور زدن حفاظت‌های فعلی پیدا کند. چنین گروه‌هایی به‌طور مداوم بدافزارها و جهش‌های جدیدی برای دور زدن کنترل‌های امنیتی به وجود می‌آورند.»