خدمات شبکه و پشتیبانی شبکه

روشی برای مقابله با از بین رفتن اطلاعات در حملات باج‌افزاری

مرداد ۹, ۱۳۹۹/در Malware, امنیت, فناوری اطلاعات /توسط ادمین

کم‌توجهی کاربران در به‌روزرسانی آنتی‌ویروس و سیستم عامل باعث آلوده شدن سیستم‌ها به بدافزارها می‌شود که از بین رفتن اطلاعات ذخیره‌شده را در پی دارد. از این رو پشتیبان‌گیری از اطلاعات ذخیره‌شده به‌صورت دوره‌ای بهترین راه برای جلوگیری از بین رفتن آنها توسط بدافزارهاست.

بدافزارهای باج‌گیر یا باج‌افزارها برنامه‌هایی هستند که جلوی دسترسی کاربران به سیستم را گرفته و برای برقرار کردن مجدد، دسترسی درخواست پول می‌کنند. کاربران فضای مجازی نادانسته از طریق بدافزارهای آلوده، مانند دانلود نرم‌افزارهای کرک شده، بازی‌ها در معرض خطر قرار می‌گیرند که یکی از مطمئن‌ترین راه‌ها دریافت نرم‌افزارها از منابع معتبر و رسمی است.

معمولاً در مناسبت‌های خاص از طرف افراد نامعلوم که دارای هویت مجهول هستند و نفوذگر نامیده می‌شوند، با هدف سرقت اطلاعات محرمانه از طریق پست الکترونیک و شبکه‌های اجتماعی لینک، ایمیل و فایل آلوده ارسال و با مهندسی اجتماعی از دریافت‌کننده پیام می‌خواهند تا روی آن کلیک کنند و به‌راحتی با اطلاعات به‌دست‌آمده اقدام به اخاذی می کنند.

آلوده شدن سیستم‌ها به بدافزارها و باج‌افزارها باعث از بین رفتن و یا گرو گرفتن اطلاعات مهم ذخیره‌شده در سیستم‌ها از سوی هکرها می‌شود. قربانیان فضای مجازی با بی‌توجهی از طریق باز کردن پیوست ایمیل‌های اسپم یا لینک‌های درون آن‌ها، باز کردن فایل‌های دانلود شده آلوده از سایت‌های نامعتبر یا کلیک روی لینک‌های مخرب، از طریق توزیع تبلیغات آلوده، آلودگی از طریق هک و نفوذ به سیستم‌ها؛ به خصوص سیستم‌هایی که آسیب‌پذیری آن‌ها وصله نشده است، مورد سوء‌استفاده قرار می‌گیرند.

از این رو پلیس فتا با اشاره به رایج‌ترین روش‌های آلوده شدن توسط باج‌افزارها هشدار می‌دهد که لازم است از دریافت فایل‌های اجرایی در شبکه‌های اجتماعی و اجرای فایل‌های ناشناخته و مشکوک پرهیز شود، زیرا ممکن است فایل دریافتی تحت عنوان کلیپ، عکس متناقض از پسوند عکس و کلیپ باشد که باید از طریق آنتی‌ویروس شناسایی و پاک شود.

همچنین لازم است همواره به اخطارهای احتمالی مرورگر و تجهیزات الکترونیکی خود توجه کرده و با دقت ویژه داشتن در به‌روزرسانی سیستم عامل و آنتی‌ویروس کامپیوتر و گوشی تلفن همراه ،تجهیزات خود را از ورود نفوذگران مصون بدارید. پشتیبان‌گیری از اطلاعات ذخیره‌شده به‌صورت دوره‌ای و نگهداری این اطلاعات پشتیبان در حافظه‌های جداگانه بهترین راه برای جلوگیری از بین رفتن آنها توسط بدافزارها و یا گرو گرفتن آنها از سوی باج افزارهاست.

MATA: فریم‌ورک چندپلت‌فرمه‌ی بدافزار

مرداد ۵, ۱۳۹۹/در Malware, MATA, امنیت, اینترنت و شبکه, فناوری اطلاعات /توسط ادمین

مجموعه ابزار مجرمان سایبری پیوسته در حال تکامل و پیشرفت است. نمونه‌ی آخرش، فریم‌ورک مخرب MATA که متخصصین‌ ما به تازگی از آن پرده برداشتند. مجرمان سایبری در حقیقت داشتند از آن برای حمله به زیرساخت‌های سازمانی در سراسر جهان استفاده می‌کردند. MATA می‌تواند تحت سیستم‌عامل‌های مختلفی کار کرده و طیف وسیعی از ابزارهای آلوده را به رخ جهان بکشاند. در ادامه همراه شوید تا ضمن بررسی نحوه‌ی عملکرد این فریم‌ورک، راهکاری امنیتی را نیز خدمتتان ارائه دهیم.

به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به طور بالقوه، مهاجمین می‌توانند از MATA برای انواع مختلفی از مقاصد جنایی (جنایت سایبری) استفاده کنند؛ با این حال در پرونده‌هایی که ما مورد بررسی قرار دادیم مجرمان سایبری در تلاش بودند تا داده‌هایی را از پایگاه‌های اطلاعاتی کلاینت در زیرساخت قربانی‌ها پیدا نموده و سرقت کنند. دست‌کم در یک پرونده، مجرمان سایبری همچنین از MATA برای پخش باج‌افزار استفاده کردند (متخصصین ما قول می‌دهند مطالعه و بررسی جداگانه‌ای را به این رخداد اختصاص دهند). حوزه مورد علاقه مهاجمین بسیار وسیع بود. از بین قربانی‌های شناسایی‌شده‌ی MATA می‌توان به توسعه‌دهندگان نرم‌افزار، ارائه‌دهندگان اینترنت، سایت‌های تجارت الکترونیک (و البته کلی موارد دیگر) اشاره کرد.

جغرافیای حمله همچنین بسیار گسترده بود- ما ردپاهایی از فعالیت این گروه در لهستان، آلمان، ترکیه، کره، ژاپن و هند پیدا کردیم.

چرا به MATA می‌گوییم فریم‌ورک؟

MATA صرفاً یک تکه بدافزار با قابلیت‌های بالا نیست؛ نوعی سازه است برای لود کردن ابزارها آن هم به محض اینکه بدان‌ها نیاز شد. بگذارید این حقیقت را بازگو گنیم که MATA می‌تواند با اجرای سه تا از محبوب‌ترین سیستم‌عامل‌ها به کامپیوترها حمله کند: ویندوز، لینوکس و macOS.

ویندوز

نخست اینکه، وقتی متخصصین ما حملات MATA را شناسایی کردند که داشتند ماشین‌های ویندوزی را مورد هدف قرار می‌دادند. این حملات در چندین مرحله اتفاق افتاد. در ابتدا، اپراتورهای MATA لودری را روی کامپیوتر قربانی اجرا کردند که کارش به خدمت گرفتن ماژول اصطلاحاً ارکستراتور (رهبر) بود؛ که در عوض ماژول‌هایی که انواعی از کارکردهای مخرب را بلد بودند دانلود می‌کرد. بسته به مشخصه‌های این سناریوی خاص حمله، ماژول‌ها توانستند از HTTP ریموت، سرور HTTPS یا از فایلی رمزگذاری‌شده روی هارددرایو لود شده یا از طریق زیرساخت MataNet بواسطه‌ی یک اتصال TLS 1.2 انتقال داده شوند.

پلاگین‌های متنوع MATA می‌توانند:

• cmd.exe /c یا powershell.exe را با پارامترهای اضافی اجرا کرده و پاسخ‌ به این فرمان‌ها را جمع‌آوری کنند

• فرآیندها را دستکاری کنند (حذف، ساخت، غیره)

• اتصال TCP را با یک آدرس خاص (یا طیفی از آدرس‌ها) چک کنند

• یک پروکسی سرور HTTP بسازند که منتظر کانکشن‌های TCP ورودی باشد

• فایل‌ها را دستکاری کنند (داده بنویسند، ارسال کنند، محتوا را حذف کنند و غیره)

• فایل‌های DLL را در فرآیندهای در حال اجرا تزریق کنند

• به سرورهای ریموت متصل شوند

لینوکس و macOS

متخصصین ما با تحقیقات بیشتر به مجموعه ابزار مشابهی برای لینوکس نیز دست یافتند. علاوه بر نسخه‌ی لینوکسی ماژول ارکستراتور و پلاگین‌ها، این مجموعه شامل ابزار قانونی خط فرمان و اسکریپت هایی برای اکسپلویت کردن آسیب‌پذیری CVE-2019-3396 در سرور Atlassian Confluence می‌شد. این مجموعه پلاگین‌ با نسخه‌ی ویندوزی‌اش فرق دارد. به طور خاص، پلاگین اضافی وجود دارد که از طریق آن MATA سعی دارد با استفاده از پورت 8291 (قبلاً دستگاه‌هایی را که RouterOS اجرا می‌کردند مدیریت می‌کرد) و پورت 8292 (در نرم‌افزار Bloomberg Professional از آن استفاده می‌شد) کانکشن TCP برقرار کند. اگر اقدام برای برقراری کانکشن موفق باشد، پلاگین لاگ را به سرور C&C انتقال می‌دهد. اینطور حدس زده می‌شود که این کارکرد مأموریتش پیدا کردن تارگت‌های جدید باشد. ابزارهای macOS نیز در اپ تروجان‌زده‌ای بر اساس نرم‌افزاری منبع باز پیدا شدند. نسخه‌ی macOS از حیث کارکرد تقریباً مانند همتای لینوکسی‌اش بود.

چطور در امان بمانیم؟

متخصصین ما MATA را به گروه Lazarus APT ربط دادند و حملات انجام‌شده با این فریم‌ورک به طور قطع حملاتی هدف‌دار بوده‌اند. محققین مطمئنند MATA همچنان جای رشد و رخنه دارد. از این رو، توصیه‌ی ما این است که حتی شرکت‌های کوچک هم به فکر اتخاذ فناوری‌های پیشرفته برای محافظت در برابر نه تنها تهدیدهای توده‌ای که حتی تهدیدهای بس پیچیده‌تر نیز باشند. ما به طور خاص راهکاری یکپارچه که EPP و EDR را با ابزارهای اضافی دیگر ترکیب می‌کند پیشنهاد می‌دهیم.

بدافزار خطرناک بات‌نت بعد از ۵ ماه بازگشت

تیر ۳۰, ۱۳۹۹/در Malware, امنیت, اینترنت و شبکه, فناوری اطلاعات /توسط ادمین

فعال ترین بدافزار بات نت سال ۲۰۱۹ موسوم به اموتت بعد از پنج ماه غیبت مجدداً فعالیت تخریبی خود را آغاز کرده است.

بدافزار بات‌نت‌اموتت که به طور گسترده برای ارسال هرزنامه مورد استفاده قرار می گرفت و آخرین بار در ۷ فوریه سال ۲۰۲۰ رؤیت شده بود، بعد از گذشت پنج ماه دوباره فعال شده و آزار کاربران را از سر گرفته است.

تحقیقات مؤسسه امنیتی پروف پوینت نشان می دهد بدافزار اموتت از طریق سه سرور جداگانه مدیریت می شود که به اپوچ های ۱، ۲ و ۳ شهرت دارند. اموتت علاوه بر ارسال هرزنامه برای نصب بدافزار خود بر روی رایانه های ثالث نیز تلاش می کند.

بخش عمده فعالیت این بدافزار در کشورهای آمریکا و انگلیس صورت می گیرد و هرزنامه حاوی آن دارای لینکی است که کاربران را به بارگذاری یک فایل ورد ترغیب می کند که حاوی کدهای مخرب بدافزار اموتت است. در دور جدید فعالیت اموتت ۸۰ هزار پیام مزاحم در روز از طریق آن ارسال شده است. فرد یا افراد طراح اموتت هنوز شناسایی نشده اند.

حملات بدافزاری به ویندوز از طریق دیکشنری

تیر ۱۰, ۱۳۹۹/در Malware, windows, امنیت, سیستم‌عامل و نرم‌افزار, فناوری اطلاعات /توسط ادمین

بات‌نت جدیدی به نام لوسیفر مشاهده شده است که می‌تواند توسط یک دیکشنری حملات خود را آغاز کند و سیستم‌های ویندوزی را مورد هدف قرار می‌دهد.

لوسیفر (Lucifer) یک بات‌نت مخرب و ترکیب جدیدی از cryptojacking و نوعی بدافزار DDoS است که منجر به اکسپلویت آسیب‌پذیری‌های قدیمی و انجام فعالیت‌های مخرب روی سیستم عامل‌های ویندوز می‌شود. این بات‌نت پس از آلوده کردن سیستم، آن را توسط رباتی به یک کلاینت استخراج رمزارز (cryptomining) تبدیل کرده و از این طریق می‌تواند حملات انکار سرویس توزیع‌شده (DDoS) را آغاز کند.

نویسنده بدافزار، این ربات را Satan DDoS نامگذاری کرده است، اما محققان پالو آلتو، به آن لقب لوسیفر داده‌اند، زیرا بدافزار دیگری نیز با همین نام (Satan Ransomware) وجود دارد. در ۲۹ام ماه می ۲۰۲۰، محققان پالو آلتو، نوع جدیدی از بدافزار ترکیبی cryptojacking را کشف کردند که آسیب‌پذیری با شناسه "CVE-۲۰۱۹-۹۰۸۱"را اکسپلویت می‌کند. طبق گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه ای)، بدافزار لوسیفر قادربه انجام حملات DDoS و همچنین اکسپلویت آسیب‌پذیر ویندوز است.

لوسیفر بسیار قدرتمند است، این بات‌نت علاوه بر آن که می‌تواند XMRig را جهت cryptojacking Monero حذف کند، قادر است از طریق اکسپلویت آسیب‌پذیری‌های مختلف، نظارت بر سرور کنترل و فرمان را نیز برعهده گرفته و حملات EternalBlue, EternalRomance و DoublePulsar را علیه اهداف آسیب‌پذیر اینترانت اجرا کند. پیش از این هم درباره اکسپلویت EternalBlue هشدار داده شده بود که یکی از ابزارهای جاسوسی سازمان امنیت ملی امریکا (NSA) است که توسط گروه دلالان سایه افشا شد و در حمله باج‌افزاری واناکرای نقش اصلی را بازی می‌کرد.

لوسیفر قادر به حذف XMRig Monero بوده و شامل ماژول DDoS است و مکانیزم خود را با اکسپلویت آسیب‌پذیری‌های متعدد و اجرای حملات جدی پیاده‌سازی خواهد کرد. در ابتدا این بدافزار به‌منظور آلوده کردن هاست‌های خارجی، یک آدرس IP غیرخصوصی تولید کرده و سپس قربانی که به‌طور تصادفی انتخاب شده است را با درخواست‌های ‌HTTP روی تعدادی از پورت‌ها مورد بررسی قرار می‌دهد.

مهاجم می‌تواند پس از به خطرافتادن سیستم قربانی توسط این بات‌نت، دستورات دلخواه را روی دستگاه آلوده اجرا کند. کارشناسان دریافتند که لوسیفر قادر است که هم اینترنت و هم اینترانت هاست‌های ویندوز را مورد هدف قرار دهد. این بدافزار می‌تواند توسط یک دیکشنری حملات بی‌رحمانه خود را آغاز کند، که در این حملات، بدافزار متکی به یک دیکشنری با هفت نام کاربریِ “sa” “SA” “su” “kisadmin” “SQLDebugger” “mssql”و “1234Chred”و صدها گذرواژه است.

نرم‌افزارهای آسیب‌پذیر عبارتند از: Rejetto HTTP File Server، Jenkins، Oracle Weblogic، Drupal، Apache Struts، Laravel framework و Microsoft Windows. با توجه به اهمیت این مسئله، مرکز ماهر توصیه می‌شود هر چه سریع‌تر به‌روزرسانی‌ها و وصله‌های امنیتی نرم‌افزارهای تحت تأثیر را اعمال کرده و همچنین جهت جلوگیری از حملاتی که از طریق دیکشنری انجام می‌شوند، از گذرواژه‌های قوی استفاده کنید.

حمله بدافزاری بی سابقه به داکر

تیر ۷, ۱۳۹۹/در Dakar, Malware, امنیت, اینترنت و شبکه, فناوری اطلاعات /توسط ادمین

سرورهای میزبان نرم افزار داکر مورد حملات بدافزاری بی سابقه قرار گرفته اند. بدافزار مورد استفاده در این حملات برای سرقت ارزرمزها به کار می رود.

به نقل از زد دی نت، تا به حال نفوذ به سرورهای نرم افزار داکر حاصل پیکربندی اشتباه آنها بوده، اما به تازگی حملات بدافزاری به این سرورها شدت گرفته است.

هکرها تلاش می کنند با نفوذ به منابع کلود ذخیره شده بر روی سرورهای داکر اطلاعات خصوصی کاربران را به سرقت ببرند. بر روی سرورهای داکر مجموعه ای از محصولات و نرم افزارهای مختلف که با سیستم عامل های گوناگون سازگاری دارند، میزبانی می شوند که به کاربران امکان می دهند بدون نیاز به نصب این برنامه ها بر روی رایانه های شخصی از راه دور از آنها استفاده کنند. ارائه خدمات یادشده از سال ۲۰۱۳ آغاز شده و بخشی از آن رایگان و بخشی نیز با پرداخت هزینه ممکن است.

بررسی های موسسه امنیتی ترندمیکرو نشان می دهد که حملات بدافزاری علیه داکر در هفته های اخیر شدت گرفته و هکرها از این طریق در تلاش هستند به طیف گسترده ای از منابع ذخیره شده دسترسی یابند. هنوز اطلاع دقیقی در مورد شدت خسارات واردشده از این طریق و میزان داده های سرقت شده در دسترس نیست.

حمله بدافزاری گسترده به شرکت های تجاری

خرداد ۶, ۱۳۹۹/در Hackers, Malware, امنیت, اینترنت و شبکه, فناوری اطلاعات /توسط ادمین

هکرها با شناسایی یک آسیب پذیری خطرناک در سرورهای شرکت های تجاری که تهیه وصله نرم افزاری برای آنها دشوار است، بدافزاری را برای حمله به این سرورها طراحی کرده اند.

به نقل از زددی نت، هزاران رایانه سرور در شرکت های مختلف جهان هدف حمله بدافزاری متعلق به شرکت Blue Mockingbird قرار گرفته اند.

بدافزار یادشده با هدف سرقت رمزارزهای مختلف طراحی شده است و اوائل ماه جاری میلادی برای اولین بار شناسایی شده بود. تحلیل گران شرکت امنیتی رد کاناری می گویند احتمالا بدافزار یادشده از دسامبر سال ۲۰۱۹ فعال بوده است. هنوز ابعاد خرابکاری های این بدافزار و میزان سرقت رمزارز توسط آن مشخص نیست.

بدافزار یادشده به سرورهایی حمله می کند که بر روی آنها برنامه های مختلف سازگار با ASP.NET نصب شده باشند. هکرها از آسیب پذیری سوء استفاده می کنند که قبلا برای رفع آن وصله ای موسوم به CVE-۲۰۱۹-۱۸۹۳۵ از سوی مایکروسافت عرضه شده بود. اما بسیاری از مدیران شبکه ها از نصب وصله یادشده خودداری کرده اند.

بدافزارها و ویروس های رایانه ای به عکس تبدیل می شوند

اردیبهشت ۲۲, ۱۳۹۹/در Hackers, informaition security, Malware, امنیت, اینترنت و شبکه, فناوری اطلاعات /توسط ادمین

مایکروسافت و اینتل در حال اجرای طرحی مشترک هستند که در قالب آن بدافزارهای خطرناک برای تجزیه و تحلیل دقیق‌تر به عکس تبدیل شوند.

به نقل از زددی نت، طرح یادشده در قالب یک پروژه یادگیری عمیق ماشینی موسوم به استامینا اجرا می‌شود. از این طریق شناسایی و طبقه بندی بدافزارها تسهیل می‌شود.

بر همین اساس، نمونه‌هایی از بدافزارهای مختلف به عکس تبدیل شده و سپس این عکس‌ها اسکن می‌شوند تا الگوها و بافت‌های اختصاصی آنها استخراج شوند. در نهایت این فرایند به تولید یک فایل نهایی متشکل از کدهای باینری می‌انجامد که درک و تحلیل بدافزارها را تسهیل می‌کند.

محققان می‌گویند عکس‌های دوبعدی که طی این فرایند به این شکل به دست می‌آیند، با استفاده از الگوریتم‌های هوش مصنوعی به راحتی قابل تجزیه و تحلیل هستند.

مایکروسافت و اینتل مدعی هستند استفاده از این روش دسته بندی و شناسایی انواع ویروس‌ها و بدافزارهای رایانه‌ای را تسهیل می‌کند.

تا به حال به همین شیوه ۲.۲ میلیون فایل تصویری از ویروس‌های مختلف تهیه شده که مطالعه بر روی آنها مقابله با بدافزارهای جدید را نیز تسهیل می‌کند. محققان از ۶۰ درصد از این فایل‌ها برای آموزش الگوریتم یادگیری ماشینی عمیق خود بهره گرفته‌اند. آنها دقت روش یادشده را در زمینه شناسایی و طبقه بندی انواع بدافزارها ۹۹.۰۷ درصد اعلام کرده‌اند.

حمله بدافزار جدید اندرویدی به بانک ها و موسسات مالی

اردیبهشت ۱۱, ۱۳۹۹/در Android, Bank, Malware, امنیت, امینت, تجارت الکترونیک, تلفن همراه, سیستم‌عامل, فناوری اطلاعات, گوشی /توسط ادمین

به تازگی یک بدافزار جدید اندرویدی از راه رسیده که به مشتریان بانک ها و موسسات مالی حمله می کند تا اطلاعات حساس و پول های آنها را سرقت کند.

به نقل از زددی نت، بررسی های موسسه امنیتی ناکترنوس نشان می دهد که بدافزار ایون بات از مارس گذشته از راه رسیده و در قالب یک تروجان برای سرقت اطلاعات بانکی کاربران تلاش می کند.

تروجان یادشده بعد از سرقت اطلاعات کاربران به جاسوسی از آنها برای دسترسی به داده های بیشتر تلاش می کند. ایون بات تا به حال بیش از ۲۰۰ برنامه و اپلیکیشن مالی و ارز دیجیتال را هدف قرار داده که توسط موسسات و شرکت هایی مانند پی پال، بارکلیز، کاپیتال وان، کوین بیس، ترانسفر وایز و ریولت ارائه می شوند.

بدافزار یادشده به سیستم های بانکی و مالی مختلفی در اروپا و آمریکا حمله کرده، هر چند هنوز اطلاعات دقیقی در مورد میزان خسارات وارده به علت این حملات منتشر نشده است.

این بدافزار که هنوز فعال است، در سه نسخه متفاوت منتشر شده و این نگرانی وجود دارد که فایل نصب آن به طور مخفیانه در برخی از برنامه های عرضه شده در پلی استور گوگل وجود داشته باشد. بیشترین خسارت ناشی از فعالیت این بدافزار مربوط به کشورهای ایتالیا، انگلیس، آلمان و فرانسه است.

بدافزار سارق رمز عبور وای‌فای فعالیت خود را از سرگرفت

اردیبهشت ۱, ۱۳۹۹/در Malware, wifi, امنیت, اینترنت و شبکه, فناوری اطلاعات /توسط ادمین

بدافزاری که با محوریت سرقت اطلاعات شناسایی شده بود و می‌توانست به جمع‌آوری اطلاعات سیستم، رمزهای عبور وای‌فای، سرقت داده‌ها و متوقف کردن آنتی‌ویروس بپردازد، دوباره فعال شده است.

بدافزار Agent Tesla سارق اطلاعات قابل خرید از فوروم‌ها و دارای قابلیت keylogging و تروجان دسترسی از راه دور است. کی‌لاگر نوعی بدافزار است که می‌تواند هر چیزی را که با کی‌بورد تایپ می‌کنید، ضبط یا رکورد کند؛ کی‌لاگر هم می‌تواند به‌صورت یک سخت‌افزار کوچک به گوشی وصل شود، هم می‌تواند یک نرم‌افزار باشد که مخفیانه روی سیستم نصب شده باشد.

این بدافزار که حداقل از سال ۲۰۱۴ تاکنون فعال است و به تازگی در لیست «۱۰ مورد از رایج‌ترین تهدیدات» رتبه دوم را به خود اختصاص داده است، اخیرا نه تنها لیستی از وای‌فای‌های دردسترس و رمزهای عبور هر پروفایل، بلکه اطلاعات گسترده‌ای را در مورد مرورگرها، نام‌کاربری، نام رایانه، نام ‌سیستم‌عامل، معماری CPU، رم و غیره را نیز استخراج می‌کند.

برخی از انواع جدید بدافزارهای سرقت اطلاعاتی Agent Tesla اکنون دارای یک ماژول اختصاصی برای سرقت رمزهای عبور وای‌فای از دستگاه‌های آلوده هستند، اطلاعات کاربری که ممکن است در حملات بعدی برای گسترش و به خطر انداختن سایر سیستم‌ها در همان شبکه‌ بی‌سیم استفاده شود. بدافزار سارق اطلاعات همچنین می‌تواند به هدف جمع‌آوری اطلاعات سیستم، سرقت داده‌ها و محتوای کلیپ‌بورد، از بین بردن آنالیزهای در حال اجرای پردازش‌شده و متوقف کردن آنتی‌ویروس مورد استفاده قرار می‌گیرد.

همانطور که تیم اطلاعات تهدید Malwarebytes دریافته‌اند و گزارش آن در وب‌سایت مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) آمده است، فایل اجرایی علاوه بر پروفایل‌های وای‌فای، اطلاعات گسترده‌ای را درمورد سیستم شامل مرورگرها، بارگیری فایل‌ها، اطلاعات دستگاه (نام کاربری، نام رایانه، نام‌سیستم عامل، معماریCPU ، رم) جمع‌آوری کرده و آن‌ها را به لیست اضافه می‌کند.

بدافزار Agent Tesla تنها بدافزاری نیست که اخیرا با قابلیت‌های وای‌فای به‌روز شده است. یک نمونه از تروجان ایموتت که اوایل سال جاری مشاهده شد نیز با یک ابزار توزیع‌کننده وای فای مستقل، به‌روزرسانی‌ شده بود که به آن امکان می‌داد قربانیان جدید متصل به شبکه‌های بی‌سیم ناامن اطراف را آلوده کند.

به گفته یک محقق که شاهد استفاده از توزیع‌کننده وای‌فای ایموتت روی سراسر شبکه‌های یکی از مشتری‌های خود بوده است، توسعه‌دهندگان ایموتت بعدا این توزیع‌کننده را به یک ماژول وای‌فای همه‌جانبه ارتقا داده و از آن علیه کاربران عادی استفاده کردند.

با تمرکز جدید تیم ایموتت روی این ماژول توزیع‌کننده وای‌فای آنها در مسیر مستقیمی جهت توسعه یک ماژول وای‌فای بسیار توانمند و بسیار خطرناک قرار دارند که با استفاده فعال از آن در عمل، علیه کاربران معمولی، روزبه‌روز حضور پررنگ‌تری خواهد داشت. هم‌اکنون ایمیل‌های تجاری مخاطره‌آمیز که از آن‌ها برای ثبت ضربات روی صفحه کلید و عکس گرفتن از دستگاه‌های آلوده استفاده می‌کنند در میان کلاهبرداران بسیار محبوب است.

حملات بدافزاری با مضمون ویروس کرونا

فروردین ۲۴, ۱۳۹۹/در informaition security, Malware, امنیت, اینترنت و شبکه, فناوری اطلاعات /توسط ادمین

حملاتی با مضمون ویروس کرونا که ویندوز را به‌ بدافزار Lokibot آلوده می‌کند، در حال انتشار است که برای سرقت اطلاعات طراحی شده است.

یک کارزار جدید که از ۲۷ مارس فعالیت دارد، از روش‌های مختلفی برای آلوده کردن قربانیانش استفاده کرده و کاربران زیادی را در کشورهای مختلفی به‌خصوص ترکیه، پرتغال، آلمان، اتریش و ایالات متحده فریب داده است. این کارزار جدیدا با ارسال یک ایمیل جعلی از طرف سازمان بهداشت جهانی با مضمون و عنوان ویروس کرونا و همچنین با داشتن یک فایل با پسوند غیراجرایی در ظاهر، قربانیان را فریب داده و بدافزار Lokibot را روی دستگاه‌های آن‌ها نصب می‌کند. این بدافزار که برای سرقت اطلاعات طراحی شده، جدیدا قابلیت‌های بیشتری نیز پیدا کرده است.

گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) هشدار داده که کارزار جدید با استفاده از ایمیلی با مضمون ویروس کرونا (کووید ۱۹) از طرف سازمان بهداشت جهانی (WHO)، بدافزار مخرب Lokibot را انتشار می‌دهد، مشاهده شده است. این ایمیل‌ها حاوی یک فایل فشرده هستند که برای فشرده‌سازی از ARJ استفاده شده است که برای ایجاد بایگانی‌ فایل‌های فشرده با راندمان بالا استفاده می‌شود.

این کارزار که توسط Fortinet مشاهده شده، به محض باز شدن فایل اجرایی، سیستم قربانی را به بدافزار Lokibot آلوده می‌کند. بدافزار Lokibot که برای اولین بار در سال ۲۰۱۵ مشاهده شد، به‌منظور سرقت اطلاعات از دستگاه آلوده طراحی شده است. این برنامه اطلاعات و اعتبارنامه‌ها را از برنامه‌های مختلف مانند موزیلا فایرفاکس، گوگل‌کروم، تاندربرد، FTP و SFTP جمع‌آوری می‌کند.

این بدافزار همچنین در بازارهای هک زیرزمینی فروخته شده و در ابتدا به‌عنوان یک سارق اطلاعات و کی‌لاگر معرفی شده بود که بعدا به پیشرفت قابلیت‌های خود ادامه داد. اخیرا در این بدافزار یک تکنیک قدرتمند در کد آن تزریق شد تا با استفاده از آن از شناسایی شدن و تکنیک‌های آنالیز فرار کند و اصطلاحا این روش‌ها را دور زده و همچنین ابزارهای امنیتی موجود در رایانه قربانیان هدف، غیرفعال شود.

به گفته Fortiguard، این کمپین از ۲۷ مارس فعال است و به کشورهای زیادی حمله می‌کند. ۱۰ مکان برتر هدف این کمپین، ترکیه با ۲۹ درصد، پرتغال با ۱۹ درصد، آلمان با ۱۲ درصد، اتریش با ۱۰ درصد و ایالات متحده با ۱۰ درصد در صدر این فهرست قرار دارند که بلژیک، پورتوریکو، ایتالیا، کانادا و اسپانیا که با کسب کمتر از یک درصد از این فهرست خارج شدند. در یک حمله اخیر این کارزار، بدافزار تروجانLokibot به‌عنوان راه‌انداز یک بازی محبوب خود را جا زده و کاربران را برای اجرای بدافزار روی دستگاه‌های خود فریب داده بود.