پورتال-مرکز مدیریت راهبردی افتای ریاست جمهوری -افتا/حملات جدید بدافزار Ursnif

هشدارهای افتایی

پژوهشگران سیسکو حملات بدافزاری جدیدی را شناسایی کرده‌اند که در حال توزیع تروجان بانکی Ursnif هستند. در این حملات از PowerShell استفاده شده است تا پایداری بدون فایل حاصل شود و تروجان از نرم‌افزارهای ضدبدافزار مخفی بماند.
به گزارش معاونت بررسی مرکز افتا، به نقل از BleepingComputer، تروجان Ursnif که با عنوان Gozi ISFB نیز شناخته می‌شود، بوجود آمده از تروجان بانکی اولیه Gozi است که کد منبع آن در سال 2014 منتشر شد. تروجان‌های بانکی دیگری نیز از کد Gozi ایجاد شدند که یک نمونه از آن‌ها GozNym است. Ursnif در حال تکامل مستمر تروجان Gozi است که طی سال‌ها با قابلیت‌های جدید بروزرسانی شده است.
تیم Cisco Talos متوجه شده است که در حملات اخیر Ursnif از یک روش شناخته شده برای انتقال بدنه استفاده شده است. در این روش از یک سند Word شامل یک کد ماکرو VBA استفاده می‌شود که در صورت فعال بودن ماکروها، بطور خودکار با استفاده AutoOpen اجرا خواهد شد. در صورتی که ماکروها فعال نباشند، سند مخرب تصویری به کاربر نمایش می‌دهد که از وی درخواست می‌کند تا ویژگی ماکرو را فعال کند:

در این کد ماکرو یک دستور PowerShell مخرب وجود دارد که توسط base64 رمزگذاری شده است و باعث انتقال تروجان Ursnif به پوشه AppData می‌شود و آن‌را در سیستم آلوده اجرا می‌کند. بدافزار پس از اجرا در سیستم، یک ورودی رجیستری ایجاد می‌کند که حاوی دستور بعدی تروجان است.
بدافزار از یک دستور برای پایداری بدون فایل در حافظه سیستم هدف استفاده می‌کند. پس از نفوذ موفق به قربانی، تروجان بانکی Ursnif از طریق HTTPS با سرورهای کنترل و فرمان (C&C) خود ارتباط برقرار می‌کند. به گفته پژوهشگران Talos، داده‌های استخراج شده به عنوان فایل‌های CAB ذخیره می‌شوند.
نشانه‌های آلودگی (IoC):
هش اسناد مخرب:

• db7f0dab70e1da8ef7a6a6d938531f2a6773c0c5f925f19874fd3e764aa45833

• e58827967cba544cc1db3d751095878115f4247982fb514bbd7b98bced8de6c0

• 3846fe442df0175461081dd63299144a233debbd2453deeeb405126042ef72d1

• 982cf7af71d0fe54cbdfac74fd2985c48a011e6ffffe65012ee4496bb669b321

• cbc10db9d7609e548e550e79f45940125895374b9a97e133020d5585bfd183ed

• 2dbd942ac2f0b92d497fa6595f638cbddc24eab8beffb7cc648a91d65b45fa09

• 38c459e56997e759ca680f88aae4428d9c76e9fae323b4d2238adf203036007c

• 153c191ef4afd3eba9df89150ac728757efcba1293716c23f019e35270a388c4

• 95f5f2ecdce872f5b96739f548e4b73bb8b7a2c11c46cfddf3e20fd04abfc091

• 1cf5de71d51d2769079a8cb64e05f80e72e88846987602ad7302478c0d574caa

• c9f42b866fc203b4cd9d09cfcb0f8fca41097548393c15adb0557652526d818a

• ba332017cbf16842170788f5688e3b8a79c821ef1331e428d77af238c379be4f

• b278b0e63acbbb92396da41bffb99b9ef09dff1b1b838f69e29245c6731269f7

• b6837f46124a360ffff235824cc1decda2b97d6daf73e80f3615bce7781a86aa

• 12e3140656d7df63a1c444b0ebdae75039a18799e2ebd03a80eeb26ce5dbb66c

• d3383c7ee9704b51b302d7e611214a78050fcc7ad0969682355894af58f63cdf

• 3eff10af3f2afbcf59d5cf77f470abe3cfafbe48255e7f6ea56a22608e332824

• ad87dcc617e9914e28f76d071b586ac2cca9454078f3141c17e0102c9e2eebaa

• 65f81148184a7ec71a43e9cd50e1267ab3fc64f3ef5f41f9da8bd74000baad30

• f7cc1b8f93831f7170e5317b5b79aaa9ceb2bc6724f21bc4e2c6cccb71655624

• d08e92af78cbf7049e8a9ca7b6ab61e8dc42729848e73b980b7cf5ac74d505af

• 1b0b9cfaa78fac0875d10d087b8354d52bffb1f576eec7d49acab9d3394ccd9a

• d48f2cb5cc595f5cea29b7fd2bd8463fdfaf980c48792294ebb4c798516a7eae

• 5a739f018675094baf0b61ff8462b1c946410f4776be877719cb20f9a9c16dfd

• d53ace589ad1a39487f36dd3e516ac2a5af0aec521f28c5b78b3a47636cfb068

• 0778ef085fdebd39856ebfa4bf1203dcb7ee59fa4fc82a71a2ef3a949143c543

• 4ffe626708fa6a2d76366a962359658e0d919544260aa2179727964c34e12080

• 4dedf0b96b253b8fc15b007e4f61eb85d0345ef19f5a1fc6ea0772614375f606

• f3c7d7c0e71d15dc03614964c887a2459bd0ae4a97a324018a97dff27608e4b2

• 8b73b12aad16a58d07048a307a7a558755d0f5ca369dbee8b808a9d9c941a25d

• a2ae329bf70c24e4380d6133a4c02127e09597111e4edfd7808aa471450d2332

• 001f52a0fa8d4abe34bfff6c96b423435c0ad3e06d40ece228fe2db3bc0d1067

• b4b56db2ce95d52b018edee05f996a1b5ae11a289979e984157a0efb7bbbc9b9

• 617f1260e18929704c0ef45dae5eee7b9690b7a95f66e76ac00cf9dd2fca465b

• c283c26a991fd3599e8fd91bf059c2dbb07d3d630caf699531c48737faedc325

• 447f249e60df0324f74a40a4b35f432b2e19f801ce2d4d6efa126a6841836b11

• d7aeacb2b12cef81315a64670a27575d84ac1af4541000d0093fdb3676afc515

• d200cbc2b28811bf4762d664a4b3f9f58f6b20af03981910dc2317751f91027d

• b409ee2691e7b2d2598cd01ac28a0914d4778da8d8b7a62d2f78492b14790917

• e95af1012346ab3edbb365f3463bd060bfa7f194b7c68c8e680dfbde43c57eb7

• 015e2b8de525789f551abb4af169ad914f218fb07df2496c6f23d51d6a711688

دامنه‌های سرور C&C:

• levocumbut[.]com

• rapworeepa[.]com

• wegatamata[.]com

• roevinguef[.]com

• pivactubmi[.]com

• biesbetiop[.]com

• navectrece[.]com

• yancommato[.]com

• dewirasute[.]com

• ptyptossen[.]com

• mochigokat[.]com

• tubpariang[.]com

• zardinglog[.]com

• abregeousn[.]com

• aplatmesse[.]com

• abeelepach[.]com

• teomengura[.]com

• allooalel[.]club

• nublatoste[.]com

• ledibermen[.]com

• lootototic[.]com

• acnessempo[.]com

• usteouraph[.]com

• izzlebutas[.]com

• sfernacrif[.]com

• isatawatag[.]com

• duenexacch[.]com

• kyllborena[.]com

• bawknogeni[.]com

• kicensinfa[.]com

• uvuladitur[.]com

فایل‌های منتقل شده:
این نام‌ها در دستور اول PowerShell اجرا شده قرار داده شده است و در نمونه‌های مختلف تفاوت دارند.

• %AppData%/137d1dc1.exe

• %AppData%/1688e8b.exe

• %AppData%/1bdf65af.exe

• %AppData%/1cf8f7bb.exe

• %AppData%/2662438a.exe

• %AppData%/284ca7b3.exe

• %AppData%/31d073c1.exe

• %AppData%/3209f93c.exe

• %AppData%/3d4480c4.exe

• %AppData%/3fabbd27.exe

• %AppData%/40dc969c.exe

• %AppData%/4d46c42f.exe

• %AppData%/530ddba6.exe

• %AppData%/56ef205c.exe

• %AppData%/58b00f30.exe

• %AppData%/58f9603c.exe

• %AppData%/60404124.exe

• %AppData%/62574d8.exe

• %AppData%/6420f61f.exe

• %AppData%/6aad9e36.exe

• %AppData%/6ed4c1be.exe

• %AppData%/71bdcc14.exe

• %AppData%/75e1d341.exe

• %AppData%/7bc0a512.exe

• %AppData%/7df15b.exe

• %AppData%/8428791f.exe

• %AppData%/8c1d4ca.exe

• %AppData%/8d04e64a.exe

• %AppData%/97729da0.exe

• %AppData%/97979225.exe

• %AppData%/9835041d.exe

• %AppData%/9eb826ef.exe

• %AppData%/a54ab0bc.exe

• %AppData%/a9f1df84.exe

• %AppData%/aa5cc687.exe

• %AppData%/af74ae98.exe

• %AppData%/b034a4.exe

• %AppData%/bb5144e8.exe

• %AppData%/c1a17119.exe

• %AppData%/cbd42398.exe

• %AppData%/cf63b795.exe

• %AppData%/d5e1b91a.exe

• %AppData%/da0170a9.exe

• %AppData%/def4b6bf.exe

• %AppData%/e199be3d.exe

• %AppData%/e5920466.exe

• %AppData%/e7972c72.exe

• %AppData%/f005cb48.exe

• %AppData%/f0107edb.exe

• %AppData%/f2134754.exe

• %AppData%/fa408793.exe

منابع:

https://www.bleepingcomputer.com/news/security/new-ursnif-malware-campaign-uses-fileless-infection-to-avoid-detection/

https://blog.talosintelligence.com/2019/01/amp-tracks-ursnif.html


امتیاز دهی

آرشیو مطالب

ارسال به دوستان

نام ارسال کننده :
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :
موضوع ایمیل :
کد تصویری :


امتیاز دهی