محققان حوزهی بدافزار از شرکت امنیتی فایرآی از فعالیتهای کیت بهرهبرداری RIG برای توزیع تروجانی با نام Grobios خبر دادند. محققان اعلام کردهاند از سال ۲۰۱۶ میلادی که کیتهای بهرهبرداری Angler و Nuclear ناپدید شدهاند، فعالیت این کیتها بسیار کاهش پیدا کرده است. ولی اخیرا پویشی از طرف کیت بهرهبرداری RIG مشاهده شده که تروجان Grobios را توزیع میکند که فرآیند آلودگی در شکل زیر نمایش داده شده است:
محققان اعلام کردند قربانی هنگام بازدید از وبسایت آلوده به دامنهی مخرب latorre[.]com[.]au که در آن iframe آلوده تزریق شده هدایت میشود. این iframe دامنهی مخربی را بارگذاری میکند که کیت بهرهبرداری RIG بر روی آن میزبانی میشود. این دامنه نیز در نهایت یک فایل فلش را بارگذاری میکند. وقتی قربانی این فایل فلش را باز میکند، تروجان Grobios بر روی سیستم نصب خواهد شد.
براساس تحلیلهای محققان امنیتی، تروجان Grobios دارای سازوکارهای فرار از تشخیص بوده و از راهکارهای ماندگاری بر روی سیستم قربانی نیز بهره میبرد و قربانی به راحتی نمیتواند آن را حذف کند. بدافزار برای ماندگاری بر روی سیستم از راههای زیر اقدام میکند:
تروجان یک رونویس از خودش را در فولدر %APPDATA% کپی میکند و خودش را جای برنامههای قانونی که بر روی سیستم نصب شدهاند جا میزند. در ادامه نیز یک کلید رجیستری اتوران و یک کلید میانبر در فولدر شروع ویندوز ایجاد میکند. تروجان همچنین چند نسخه از خودش را در مسیر %ProgramFiles%/%PROGRAMFILES(X86)% کپی میکند و خود را جای برنامهی قانونی نصبشده در نسخههای مختلف جا زده و یک کلید رجیستری اتوران و یا یک وظیفهی زمانبندیشده ایجاد میکند. بدافزار همچنین خود را در پوشهی %Temp% کپی کرده و برای اجرای آن یک وظیفهی زمانبندیشده ایجاد میکند.
تروجان همچنین برای فرار از تشخیص از روشهای مختلف ضد-تحلیل، ضد-عیبیابی و ضد-ماشین مجازی استفاده میکند. تروجان Grobios پس از انجام تحلیلهای لازم برای اینکه تشخیص دهد در ماشین مجازی و یا محیطهای تحلیل در حال اجرا شدن نیست، در ادامه برای دریافت دستورات با سرور دستور و کنترل ارتباط برقرار میکند.