.png "عصر ایران")
۱۵ مهر ۱۴۰۳
به روز شده در: ۱۵ مهر ۱۴۰۳ - ۰۲:۳۰
اشتباه مدافع؛ گل دوم استقلال به هوادار توسط محمدی (فیلم) تروجانی که آنتیویروس ها را دور میزند
یک عملیات اسپمی در حال انتشار یک تروجان با دسترسی از راه دور (RAT) است که از چندین روش برای فریب دادن ضدویروسهای مبتنی بر امضا استفاده میکند.
این RAT که با نام Adwind شناخته میشود، پیشتر صنایع مختلفی را در جهان مورد هدف قرار داده است. این تروجان اکنون مجهز به toolkit جدیدی است تا بتواند از سیستمها سوءاستفاده کند.
به گزارش ایسنا، تروجان توسط Cisco Talos و ReversingLabs مورد بررسی قرار گرفته است. این تروجان همچنین با نامهای AlienSpy، JSocket و jRat نیز شناخته میشود و دارای قابلیتهای زیادی است. تروجان قادر به جمعآوری اطلاعات رایانه و کلیدهای فشرده شده توسط کاربر است، همچنین اطلاعات احراز هویت و اطلاعات ارسال شده از طریق فرمهای وب را نیز به سرقت میبرد.
بدافزار قادر به ضبط ویدئو، صدا و گرفتن تصاویر اسکرینشات نیز است. علاوه بر این، تروجان میتواند فایلهای سیستم را بدون اطلاع کاربر منتقل کند. در نسخههای جدیدتر این تروجان، تلاش برای سرقت کلیدهای رمزنگاری برای دسترسی به کیف پول مجازی در سیستمهای آلوده نیز انجام میشود.
تروجان ابتدا از طریق عملیات فیشینگ منتقل میشود و سپس بدنه مخرب که بصورت فایل JAR است را بارگیری میکند و پس از اجرا به سرور کنترل و فرمان (C&C) متصل میشود و بدنههای بیشتر را بارگیری میکند تا دادههای سیستم آلوده را به سرقت ببرد.
این بدافزار در گذشته با حداقل ۴۰۰ هزار حمله علیه کسبوکارها در امور مالی، تولید، حمل و نقل و صنعت مخابرات مرتبط بوده است. در حملات اسپمی جدید که در ماه آگوست مشاهده شده است، از Adwind ۳,۰ که آخرین نسخه آن است استفاده شد. در این حملات سیستمهای ویندوز، لینوکس و مک مورد هدف قرار گرفتند.
همچنین در حملات از روش تزریق کد DDE برای نفوذ به اکسل و دور زدن برنامههای ضد ویروس مبتنی بر امضا بهرهبرداری شده است. در عملیات فیشینگ پیامهای مخرب حاوی فایلهای CSV و XLT (هر دو به صورت پیشفرض با نرمافزار اکسل باز میشوند) ارسال میشوند. فایلهای مخرب دارای یک یا دو dropper هستند که از تزریق DDE بهره میبرند. dropper از پسوندهای مختلفی از جمله htm، xlt، xlc و db استفاده میکند.
پژوهشگران Cisco Talos میگویند که تکنیک جدیدی برای مبهمسازی در حملات استفاده شده است که از طریق آن بخش اول فایل بدون سرایند است و برنامههای ضدویروس را به اشتباه میاندازد. در واقع ضد ویروس به جای تشخیص فایل مخرب به عنوان یک dropper، آن را به عنوان یک فایل خراب تشخیص میدهد.
کد مخرب یک اسکریپت Visual Basic را ایجاد میکند که از bitasdmin بهره میبرد. ابزار bitasdmin نرمافزار قانونی مایکروسافت است که یک ابزار مبتنی بر خط فرمان (command-line) برای ایجاد، بارگیری یا بارگذاری فعالیتها و نظارت بر فرایند پردازشی آنهاست. در کد مخرب از این ابزار برای بارگیری بدنه نهایی که یک فایل Java دارای بسته Allatori Obfuscator است، سوء استفاده شده است. این بسته در ادامه از حالت فشرده خارج میشود و تروجان Adwind را پیادهسازی میکند.
نظرات کاربران
لینک کوتاه: کپی لینک
طولانیترین و بزرگترینِ هر چیز روی زمین/طولانیترین کلمه انگلیسی که ۴۵ حرف دارد! این باقلوا خوردنی نیست، باید آن را نصب کرد! مستندسازی که یک سال با طالبان زندگی کرد تا رازهای این گروه را فاش کند چرا بلندترین قلۀ جهان هر سال بلندتر میشود؟ مرموزترین نوشتههای جهان که هنوز هیچکس معنای آنها را نمیداند (+عکس) کشف گورستانی باستانی که تعداد زنان در آن دو برابر مردان است قلعه ضحاک؛ سفری به قلب تاریخ و فرهنگ هشترود (+عکس) پیشگوییهای تکاندهنده و دقیق از پیشگوهای ناشناخته در طول تاریخ سایز این انگشت ها نشانه جسمی ابتلا به سایکوپاتی است آیا شارژ سریع یا فست شارژ به باتری گوشی آسیب میزند؟ معماری استثنایی خانهای که در مدت 7 سال ساخته شده است (+عکس) پنج «خانه» برتر دنیا در سپتامبر 2024 به انتخاب نشریه معتبر معماری (+عکس) جانور 32 هزارسالهای با بدن «نیمخورده» که در زیر یخهای سیبری پیدا شد(+عکس) رازهای میلیونرها برای ثروتمند شدن که زندگی مالیتان را متحول میکنند زنی که زمان میفروخت و مردی که میخواست جلویش را بگیرد (+عکس)
اخبار و تحلیل های ترکیه