بدافزار مشکوک رایانه شما را با دو تروجان‌ آلوده می‌کند

دسته بندی ها : اخبار ۹ آذر ۱۳۹۸ فایزه اشرفیان اشرفیان 539 بازدید

احتمال پایین تشخیص و حذف نه یکی، بلکه دو تروجان، مشکل‌ساز شده است.

محققان یک نوع بدافزار جدید با امکان ردیابی پایین که قادر به ارسال چندین تروجان به سیستم‌های آلوده است، کشف کرده‌اند.

این هفته، تیم سایبری امنیت در Fortinet اعلام کردند که نمونه جدیدی از Dropper نشان می‌دهد که این بدافزار جدید به منظور رها کردن RevengeRAT و WSHRAT در سیستم‌های آسیب پذیر ویندوز طراحی شده است.

Dropper نمونه فرآیند آلوده‌سازی را با کد JavaScript و اطلاعات رمزگذاری شده URL موجود در ویرایشگر متن آغاز می‌کند. پس از رمزگشایی، تیم پی بردند که VBScript با تعویض کاراکتر مبهم سازی (obfuscated) شده بود.

این کد VBScript پس از آن قادر به فراخوانی یک شی Shell.Application است که یک فایل اسکریپت جدید با نام A6p.vbs را تولید می‌کند، که یک payload – VBScript اضافی – را از منبع خارجی دریافت می‌کند.

رشته‌های موجود در کد جدید، که احتمالاً در تلاش برای جلوگیری از تشخیص نیز مبهم سازی شده‌اند، یک فایل اسکریپتی به نام Microsoft.vbs را از یک سرور از راه دور می‌کشد و آن را در پوشه موقت ویندوز ذخیره می‌کند.

به گفته محققان: « پس از اجرای کد فوق، یک شیء WScript.Shell جدید ایجاد کرده و داده‌های محیط OS و hardcode شده را جمع آوری می‌کند، که در نهایت با فراخوانی مفسر VBScript با پارامتر “//B” به اجرای اسکریپت تازه ایجاد شده (GXxdZDvzyH.vbs) خاتمه می‌یابد. این حالت “batch-mode” را فعال می‌کند و هشدارها یا اعلام خطرهای احتمالی را که ممکن است در هنگام اجرا رخ دهد، غیرفعال می‌سازد. »

سپس یک کلید جدید به رجیستری ویندوز اضافه می‌شود، دستورات PowerShell برای دور زدن روش‌های اجرایی اجرا می‌شوند، و سپس پیلود (payload) pay Revenge RAT مستقر می شود.

Revenge RAT یک تروجان است که قبلاً به campaignهایی که موسسات مالی، دولت‌ها و شرکت‌های فناوری اطلاعات را هدف قرار می‌دادند، مرتبط بوده است.

Revenge RAT پس از استقرار توسط dropper بدافزار جدید، به دو سرور دستوروکنترل (C2) متصل می‌شود و قبل از انتقال این اطلاعات به C2، داده‌های سیستم را از قربانی جمع می‌کند.

آدرس‌های IP، داده‌های حجم، نام دستگاه، نام کاربر، شناسایی شدن یا نشدن وب کم، داده‌های CPU، زبان و اطلاعات مربوط به محصولات آنتی ویروس و نصب فایروال به سرقت رفته‌اند.

Trojan همچنین قادر به دریافت دستوراتی از C2 برای بارگذاری کد مخرب ASM در حافظه برای سوءاستفاده‌های مضاعف است.

با این حال، استقرار یک Trojan پایان زنجیره حمله نیست. این dropper بدافزار همچنین با استفاده از همان اسکریپت Microsoft.vbs، WSH RAT را به عنوان payload با چند ترفند اجرا می‌کند.

WSH RAT اغلب بطور فعال در پیام‌های فیشینگ در لباس بانک‌های معروف فعالیت می‌کند. این  Trojanبه صورت عمومی، آنلاین و اشتراک پایه به عاملان تهدیدآمیز فروخته می‌شود.

نسخه ۱.۶ WSH RAT بارگیری شده است و این بدافزار عملکرد بیشتری نسبت به همتای خود دارد؛ از جمله روش‌های حفظ پایداری، سرقت داده‌ها و پردازش اطلاعات.

امکان بررسی دسترسی‌های کاربر فعلی در میان این ۲۹ عملکرد وجود دارد و همچنین محققان اظهار داشتند: « بسته به نوع استفاده از هر عملکرد، در حالت فعلی باقی می‌ماند و یا خود را به سطح دسترسی کاربر بالاتر ارتقا می‌دهد (()startupElevate). »

Trojan همچنین برای غیرفعال کردن زمینه امنیتی فعلی، یک بررسی امنیتی انجام می‌دهد.

WSH RAT بر سرقت اطلاعات جمع آوری شده از مرورگرهای محبوب از جمله Google Chrome و Mozilla Firefox تمرکز دارد. با این حال، این بدافزار ویژگی‌های دیگری نیز مانند اجرای فایل‌ها، راه اندازی مجدد دستگاه قربانی، حذف برنامه‌ها و ایجاد keylogging را دارد.

نکته قابل توجه این ماه در فضای بدافزار، ظهور Emotet با قابلیت‌های جدید است. بدافزار ماژولار که محبوبیت آن‌ در میان مجرمان سایبری مشهود بوده است، اکنون به نظر می‌رسد از تاکتیک‌های مخفی‌کاری استفاده می‌کند که زمانی توسط Trickbot استفاده می‌شد.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لینک کوتاه :

عضویت در خبرنامه ویژه مشتریان سیگما پلاس

با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!