بات‌نت Mevade، نسخه‌ی مخفی و پنهانی از یک تهدید قدیمی

موسسه خبری سایبربان:زمانی که مشخص شد افزایش شدید و یک‌باره‌ی کاربران Tor نتیجه‌ی استفاده از این شبکه به عنوان وسیله‌ی ارتباطیِ بین بات‌ها و کارگزارهای کنترل و فرمان‌دهی بات‌نت و تروجان Mevade است، شهرت این بدافزار به یک‌باره افزایش یافت.

پژوهش‌گران Fox-IT اعلام کردند که این بات‌نتِ گسترده مدت زمانی است که فعالیت خود را آغاز نموده است. به گفته‌ی یوناتان کلینزما1 از محققین امنیتی Fox-IT «یکی از نام‌هایی که اخیراً در ارتباط با این بات‌نت استفاده شده Mevade.A است که البته اگر به سوابق قدیمی‌تر رجوع کنیم به نام Sefnit می‌رسیم؛ این بات‌نت در سال ۲۰۰۹ شناسایی شده و قابلیت اتصال به Tor را نیز دارا است. همچنین یافته‌های ما نشان می‌دهد که این بات‌نت در میان طراحان آن با نام SBC شناخته می‌شود.»

اکنون یافته‌های این پژوهش‌گران توسط محققین مایکروسافت نیز تأیید شد و آن‌ها تصمیم گرفتند نام قدیمی این تهدید را به کار گیرند. محققین مایکروسافت توضیح دادند: «Win32/Sefnit خانواده‌ی بدافزاری شناخته شده‌ای است. این خانواده دارای مولفه‌ای می‌باشد که قادر است حقه‌ی کلیک2 را عملی کند. طبق تحقیقات ما این مولفه‌ی خاص در اواخر ۲۰۱۱ ناپدید شد و در ژوئن ۲۰۱۳ (یعنی خرداد ۹۲) مولفه‌ی جعل کلیک جدیدی را کشف کردیم که پیش از آن به عنوان Meavde شناسایی شده بود.»

Sefnit در‌واقع از ۳ مولفه‌ی مختلف تشکیل شده که هر کدام وظیفه‌ی خاص خود را دارا هستند (به‌اشتراک‌گذاری پرونده‌ی P2P، به‌روز‌رسان و حقه‌ی کلیک).اما این بدافزار چگونه توانسته حدود ۱ سال  و نیم مخفی بماند و توسط ضدبدافزارها شناسایی نشود؟

نسخه‌ی قدیمی Sefnit به منظور انجام حقه‌ی کلیک به ربودن کلیک متکی بود. زمانی که یک کاربر آلوده به مرور در اینترنت می‌پرداخت و بر روی نتیجه‌ی یک موتور جستجو (مثل گوگل) کلیک می‌نمود، کلیک‌ها ربوده شده و در میان واسطه‌های تبلیغاتی به صفحات مقصد می‌رسید. اما این رویه چندان مخفیانه نبود؛ حتی اگر ضدبدافزارها در ابتدا بدافزار را تشخیص نمی‌دادند، کاربران احتمالاً به این رفتار مشکوک می‌شدند و پی می‌بردند که رایانه‌شان آلوده شده است. به این ترتیب پرونده‌های مشکوک را به سرویس‌ها و برنامه‌های ضدبدافزاری خود گزارش می‌نمودند.

از این رو نویسندگان این بدافزار تصمیم گرفتند این رویه را تغییر دهند و بدافزار خود را مخفیانه به اجرا درآورند. به این ترتیب ۳ ماه پیش پژوهش‌گران مجدداً Sefnit را شناسایی کرده، هرچند که یک خانواده‌ی بدافزاری کاملاً جدید است، و آن را Mevade نامیدند.چیزی که در نهایت کشف شد این بود که این تهدیدِ جدید، بدافزارِ قدیمی است که در‌واقع مجهز به استراتژی حقه‌ی کلیکی شده که کم‌تر ملموس و قابل رؤیت است. به گفته‌ی پژوهش‌گران مولفه‌ی جعل کلیک جدیدِ Sefnit به صورت یک سرویس پروکسی و بر اساس پروژه‌ی 3proxy ایجاد شده است. بات‌نت پروکسی‌هایی که توسط Sefnit میزبانی می‌شوند معمولاً از ترافیک HTTP استفاده می‌کنند تا وانمود کنند که بر روی تبلیغات کلیک شده است. به این ترتیب نسخه‌ی جدید Sefnit هیچ علامت واضح و آشکاری را برای کاربر به نمایش نمی‌گذارد.

این رویکرد جدید از آن‌جایی که فواصل طولانی را بین رخدادهای جعل کلیک ایجاد می‌کند، به شناسایی نشدن بدافزار توسط کاربر کمک می‌کند؛ همچنین به مالکان بات‌نت هم کمک می‌کند از طریق آگهی‌های تبلیغاتی مربوطه بیش‌تر کسب درآمد کنند.

تروجان Sefnit از راه‌هال مختلفی مثل برنامه‌های به ظاهر معتبر و از طریق شبکه‌ی نظیر به نظیر eMule منتشر می‌شود.