هشدارهای افتایی
یک نسخه بروزرسانی شده از جاسوس‌افزار AZORult، به عنوان بدنه اصلی در یک حمله گسترده اسپمی استفاده شده است. جاسوس‌افزار AZORult قادر به سرقت اطلاعات و دانلود بدافزارهای اضافی است. این جاسوس‌افزار از سال 2016، زمانی که پژوهشگران Proofpoint آنرا به عنوان بخشی از تروجان بانکی Chthonic شناسایی کردند، در حال فعالیت است. پس از آن، استفاده از این جاسوس‌افزار در حملات اسپم رایج شد. در حال حاضر، نویسندگان این جاسوس‌افزار نسخه جدیدی از آن را منتشر کرده‌اند. کد بروزرسانی شده قابلیت‌های پیشرفت‌های را در خود جای داده است، از قبیل: امکان سرقت تاریخچه از مرورگرهای غیر مایکروسافتی؛ تعیین پارامترهای مشخصی قبل از اجرای کامل بدافزار؛ پشتیبانی از کیف پول ارزهای دیجیتالی Exodus، Jaxx، Mist، Ethereum، Electrum و Electrum-LTC؛ قابلیت استفاده از پراکسی‌های سیستم؛ و چندین ترفند مدیریتی مانند آگاهی از مکان سیستم و قابلیت حذف آسان گزارش‌های جاسوسی فاقد اطلاعات سودمند.
در پنل مدیریت بدافزار قابلیت منحصر به فردی وجود دارد که مهاجم می‌تواند قوانینی را برای حمله به قربانیان تعیین کند، تا بازدهی حملات افزایش یابد؛ برای مثال، مهاجم می‌تواند تعیین کند که بدافزار وجود رمزعبورهای ذخیره شده یا کوکی‌های موجود از وبسایت‌های خاصی را در سیستم قربانی بررسی کند. همچنین، مهاجم این قابلیت را دارد که بدافزار را به گونه‌ای تنظیم کند که وجود اطلاعات مربوط به کیف پول ارز دیجیتالی در سیستم قربانی را تایید کند.
پس از اتصال به سرور C&C، دستگاه آلوده چهار نوع گزارش را ارسال می کند: یک فایل info شامل اطلاعات پایه‌ای مانند نسخه ویندوز و نام رایانه؛ فایل pwds حاوی رمزعبورهای سرقت شده؛ فایل cooks شامل کوکی‌ها یا سایت‌های بازدید شده؛ و فایل file حاوی محتویات فایل‌های کوکی و یک فایل حاوی اطلاعات بیشتر از سیستم شامل شناسه دستگاه، نسخه ویندوز، نام رایانه، وضوح صفحه، زمان محلی، منطقه زمانی، مدل پردازنده، تعداد پردازنده، RAM، اطلاعات کارت گرافیک، لیست فرایندهای پردازشی دستگاه آلوده و نرم‌افزارهای نصب شده بر روی دستگاه آلوده.
به گفته پژوهشگران، پس از جاسوسی اولیه، دریافت پیکربندی و استخراج اطلاعات به سرقت رفته از دستگاه قربانی، جاسوس افزار احتمالا بدنه بعدی را دانلود می‌کند. نسخه جدید این جاسوس افزار در یک حمله گسترده ارسال ایمیل اسپم در تاریخ 18 جولای (27 تیر)، مشاهده شده است. این حمله یک روز پس از آغاز انتشار جاسوس افزار در فروم‌های زیرزمینی وب تاریک انجام شده است. پژوهشگران حملات را به عامل تهدید TA516 نسبت دادهاند، گروهی که تخصص فراوانی در ارزهای دیجیتالی دارد.
از قابلیت‌های AZORult برای توزیع باج‌افزار Hermes نیز استفاده شده است. نکته قابل توجه این حملات نفوذ همزمان یک جاسوس‌افزار و یک باج‌افزار است که این مورد در گذشته کمتر دیده شده است. این سبک از حمله برای قربانیانی که اطلاعات احرازهویت، کیف پول ارزدیجیتالی و غیره را در سیستم خود دارند، بسیار مخرب است. حملات شامل هزاران پیام است که با استفاده از تکنیکهای مهندسی اجتماعی، قربانیان را هدف قرار می‌دهد. برای مثال ایمیل‌هایی با موضوع استخدام شغلی ارسال می‌شوند که کاربر را وادار می‌کنند تا فایل پیوست شده را دریافت کند.
 

برای جلوگیری از شناسایی توسط آنتی‌ویروس‌ها، مهاجمین روشی را بکار بردند که فایل سند دانلود شده تا قبل از وارد کردن رمزعبور توسط قربانی، اقدام مخربی انجام نمی‌دهد (رمزعبور در متن ایمیل درج شده است). پس از وارد کردن رمزعبور و فعال کردن کد ماکرو، AZORult دانلود می‌شود که در ادامه باج‌افزار Hermes 2.1 نیز دانلود می‌شود. با توجه به قابلیت‌های سرقت ارزهای دیجیتالی و اطلاعات احرازهویت در بدافزار AZORult، این نرم‌افزار مخرب خسارت‌های مالی زیادی را به کاربران متحمل می‌کند.

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان شهید بهشتی، خیابان شهید صابونچی، کوچه دهم ،پلاک 36 ،مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.