پژوهشگران سیسکو حملات بدافزاری جدیدی را شناسایی کردهاند که در حال توزیع تروجان بانکی Ursnif هستند. در این حملات از PowerShell استفاده شده است تا پایداری بدون فایل حاصل شود و تروجان از نرمافزارهای ضدبدافزار مخفی بماند.
به گزارش معاونت بررسی مرکز افتا، به نقل از BleepingComputer، تروجان Ursnif که با عنوان Gozi ISFB نیز شناخته میشود، بوجود آمده از تروجان بانکی اولیه Gozi است که کد منبع آن در سال 2014 منتشر شد. تروجانهای بانکی دیگری نیز از کد Gozi ایجاد شدند که یک نمونه از آنها GozNym است. Ursnif در حال تکامل مستمر تروجان Gozi است که طی سالها با قابلیتهای جدید بروزرسانی شده است.
تیم Cisco Talos متوجه شده است که در حملات اخیر Ursnif از یک روش شناخته شده برای انتقال بدنه استفاده شده است. در این روش از یک سند Word شامل یک کد ماکرو VBA استفاده میشود که در صورت فعال بودن ماکروها، بطور خودکار با استفاده AutoOpen اجرا خواهد شد. در صورتی که ماکروها فعال نباشند، سند مخرب تصویری به کاربر نمایش میدهد که از وی درخواست میکند تا ویژگی ماکرو را فعال کند:
در این کد ماکرو یک دستور PowerShell مخرب وجود دارد که توسط base64 رمزگذاری شده است و باعث انتقال تروجان Ursnif به پوشه AppData میشود و آنرا در سیستم آلوده اجرا میکند. بدافزار پس از اجرا در سیستم، یک ورودی رجیستری ایجاد میکند که حاوی دستور بعدی تروجان است.
بدافزار از یک دستور برای پایداری بدون فایل در حافظه سیستم هدف استفاده میکند. پس از نفوذ موفق به قربانی، تروجان بانکی Ursnif از طریق HTTPS با سرورهای کنترل و فرمان (C&C) خود ارتباط برقرار میکند. به گفته پژوهشگران Talos، دادههای استخراج شده به عنوان فایلهای CAB ذخیره میشوند.
نشانههای آلودگی (IoC):
هش اسناد مخرب:
• db7f0dab70e1da8ef7a6a6d938531f2a6773c0c5f925f19874fd3e764aa45833
• e58827967cba544cc1db3d751095878115f4247982fb514bbd7b98bced8de6c0
• 3846fe442df0175461081dd63299144a233debbd2453deeeb405126042ef72d1
• 982cf7af71d0fe54cbdfac74fd2985c48a011e6ffffe65012ee4496bb669b321
• cbc10db9d7609e548e550e79f45940125895374b9a97e133020d5585bfd183ed
• 2dbd942ac2f0b92d497fa6595f638cbddc24eab8beffb7cc648a91d65b45fa09
• 38c459e56997e759ca680f88aae4428d9c76e9fae323b4d2238adf203036007c
• 153c191ef4afd3eba9df89150ac728757efcba1293716c23f019e35270a388c4
• 95f5f2ecdce872f5b96739f548e4b73bb8b7a2c11c46cfddf3e20fd04abfc091
• 1cf5de71d51d2769079a8cb64e05f80e72e88846987602ad7302478c0d574caa
• c9f42b866fc203b4cd9d09cfcb0f8fca41097548393c15adb0557652526d818a
• ba332017cbf16842170788f5688e3b8a79c821ef1331e428d77af238c379be4f
• b278b0e63acbbb92396da41bffb99b9ef09dff1b1b838f69e29245c6731269f7
• b6837f46124a360ffff235824cc1decda2b97d6daf73e80f3615bce7781a86aa
• 12e3140656d7df63a1c444b0ebdae75039a18799e2ebd03a80eeb26ce5dbb66c
• d3383c7ee9704b51b302d7e611214a78050fcc7ad0969682355894af58f63cdf
• 3eff10af3f2afbcf59d5cf77f470abe3cfafbe48255e7f6ea56a22608e332824
• ad87dcc617e9914e28f76d071b586ac2cca9454078f3141c17e0102c9e2eebaa
• 65f81148184a7ec71a43e9cd50e1267ab3fc64f3ef5f41f9da8bd74000baad30
• f7cc1b8f93831f7170e5317b5b79aaa9ceb2bc6724f21bc4e2c6cccb71655624
• d08e92af78cbf7049e8a9ca7b6ab61e8dc42729848e73b980b7cf5ac74d505af
• 1b0b9cfaa78fac0875d10d087b8354d52bffb1f576eec7d49acab9d3394ccd9a
• d48f2cb5cc595f5cea29b7fd2bd8463fdfaf980c48792294ebb4c798516a7eae
• 5a739f018675094baf0b61ff8462b1c946410f4776be877719cb20f9a9c16dfd
• d53ace589ad1a39487f36dd3e516ac2a5af0aec521f28c5b78b3a47636cfb068
• 0778ef085fdebd39856ebfa4bf1203dcb7ee59fa4fc82a71a2ef3a949143c543
• 4ffe626708fa6a2d76366a962359658e0d919544260aa2179727964c34e12080
• 4dedf0b96b253b8fc15b007e4f61eb85d0345ef19f5a1fc6ea0772614375f606
• f3c7d7c0e71d15dc03614964c887a2459bd0ae4a97a324018a97dff27608e4b2
• 8b73b12aad16a58d07048a307a7a558755d0f5ca369dbee8b808a9d9c941a25d
• a2ae329bf70c24e4380d6133a4c02127e09597111e4edfd7808aa471450d2332
• 001f52a0fa8d4abe34bfff6c96b423435c0ad3e06d40ece228fe2db3bc0d1067
• b4b56db2ce95d52b018edee05f996a1b5ae11a289979e984157a0efb7bbbc9b9
• 617f1260e18929704c0ef45dae5eee7b9690b7a95f66e76ac00cf9dd2fca465b
• c283c26a991fd3599e8fd91bf059c2dbb07d3d630caf699531c48737faedc325
• 447f249e60df0324f74a40a4b35f432b2e19f801ce2d4d6efa126a6841836b11
• d7aeacb2b12cef81315a64670a27575d84ac1af4541000d0093fdb3676afc515
• d200cbc2b28811bf4762d664a4b3f9f58f6b20af03981910dc2317751f91027d
• b409ee2691e7b2d2598cd01ac28a0914d4778da8d8b7a62d2f78492b14790917
• e95af1012346ab3edbb365f3463bd060bfa7f194b7c68c8e680dfbde43c57eb7
• 015e2b8de525789f551abb4af169ad914f218fb07df2496c6f23d51d6a711688
دامنههای سرور C&C:
• levocumbut[.]com
• rapworeepa[.]com
• wegatamata[.]com
• roevinguef[.]com
• pivactubmi[.]com
• biesbetiop[.]com
• navectrece[.]com
• yancommato[.]com
• dewirasute[.]com
• ptyptossen[.]com
• mochigokat[.]com
• tubpariang[.]com
• zardinglog[.]com
• abregeousn[.]com
• aplatmesse[.]com
• abeelepach[.]com
• teomengura[.]com
• allooalel[.]club
• nublatoste[.]com
• ledibermen[.]com
• lootototic[.]com
• acnessempo[.]com
• usteouraph[.]com
• izzlebutas[.]com
• sfernacrif[.]com
• isatawatag[.]com
• duenexacch[.]com
• kyllborena[.]com
• bawknogeni[.]com
• kicensinfa[.]com
• uvuladitur[.]com
فایلهای منتقل شده:
این نامها در دستور اول PowerShell اجرا شده قرار داده شده است و در نمونههای مختلف تفاوت دارند.
• %AppData%/137d1dc1.exe
• %AppData%/1688e8b.exe
• %AppData%/1bdf65af.exe
• %AppData%/1cf8f7bb.exe
• %AppData%/2662438a.exe
• %AppData%/284ca7b3.exe
• %AppData%/31d073c1.exe
• %AppData%/3209f93c.exe
• %AppData%/3d4480c4.exe
• %AppData%/3fabbd27.exe
• %AppData%/40dc969c.exe
• %AppData%/4d46c42f.exe
• %AppData%/530ddba6.exe
• %AppData%/56ef205c.exe
• %AppData%/58b00f30.exe
• %AppData%/58f9603c.exe
• %AppData%/60404124.exe
• %AppData%/62574d8.exe
• %AppData%/6420f61f.exe
• %AppData%/6aad9e36.exe
• %AppData%/6ed4c1be.exe
• %AppData%/71bdcc14.exe
• %AppData%/75e1d341.exe
• %AppData%/7bc0a512.exe
• %AppData%/7df15b.exe
• %AppData%/8428791f.exe
• %AppData%/8c1d4ca.exe
• %AppData%/8d04e64a.exe
• %AppData%/97729da0.exe
• %AppData%/97979225.exe
• %AppData%/9835041d.exe
• %AppData%/9eb826ef.exe
• %AppData%/a54ab0bc.exe
• %AppData%/a9f1df84.exe
• %AppData%/aa5cc687.exe
• %AppData%/af74ae98.exe
• %AppData%/b034a4.exe
• %AppData%/bb5144e8.exe
• %AppData%/c1a17119.exe
• %AppData%/cbd42398.exe
• %AppData%/cf63b795.exe
• %AppData%/d5e1b91a.exe
• %AppData%/da0170a9.exe
• %AppData%/def4b6bf.exe
• %AppData%/e199be3d.exe
• %AppData%/e5920466.exe
• %AppData%/e7972c72.exe
• %AppData%/f005cb48.exe
• %AppData%/f0107edb.exe
• %AppData%/f2134754.exe
• %AppData%/fa408793.exe
منابع: