هشدارهای افتایی
پژوهشگران Cybaze-Yoroi ZLab، به تازگی نمونه بدافزار جدیدی را تحلیل کرده‌اند. مشابه اکثر بدافزارها، این نرم‌افزار مخرب نیز از طریق پیوست ایمیل‌ها منتقل می‌شود. فایل سند پیوست شده invoice.doc نام دارد. سند آفیس مخرب حاوی کد ماکرو مخرب است. تصویر زیر فرایند آلوده‌سازی توسط این بدافزار را نمایش می‌دهد:
 
سند مخرب پس از باز شدن از کاربر تقاضا می‌کند تا اسکریپت‌های ماکرو را فعال کند. این کدها بشدت مبهم‌سازی شده‌اند تا از شناسایی آن‌ها جلوگیری شود. کد ماکرو یک رشته متنی را از یک شیء WebClient فراخوانی شده از کنسول PowerShell دریافت می‌کند و آن‌را به عنوان یک فایل تصویر png ذخیره می‌کند.
رمزگشایی این اسکریپت IP سرور کنترل و فرمان (C&C) را نمایان می‌سازد. تابع دیگری در این کد وجود دارد که اطلاعات مرتبط با سیستم قربانی را جمع‌آوری می‌کند. این کد موارد زیر را جمع‌آوری می‌کند:
•    اطلاعات سیستم
•    آدرس IP رایانه
•    وضعیت شبکه
•    لیست فرایندهای پردازشی در حال اجرا
•    دسترسی‌های موجود
•    نام‌های کاربری
•    ادمین‌های دامنه
•    فایل‌های دسکتاپ
•    آنتی‌ویرویس نصب شده در رایانه
تابع دیگری که کشف شده است، حساب‌های ایمیل ثبت شده در رایانه قربانی را جستجو می‌کند. سرور C&C این بدافزار از دسترس خارج شده است. آخرین فعالیت DNS آن به دسامبر 2018 بازمی‌گردد. IP این سرور به عنوان یک IP مخرب نشان‌گذاری شده است. دامنه مرتبط با این سرور، zosmogroel[.]com، تا تاریخ 18 دسامبر 2018 فعال بود است. گواهی مربوط به این دامنه با 80 آدرس IP دیگر نیز مرتبط بوده است. تحلیل بیشتر نشان می‌دهد که از برخی از این IPها برای انتقال نمونه‌های بدافزاری دیگر استفاده شده است.
نمونه تحلیل شده، بدافزار AdvisorsBot است که اولین بار در تاریخ 23 آگوست 2018 توسط ProofPoint تجزیه و تحلیل شد. همچنین، شواهدی وجود دارد که در ماه آگوست گذشته از سرور C&C این بدافزار برای انتقال بدافزار Ursnif/Gozi استفاده شده است.
توصیه می‌شود تا با غیرفعال‌سازی ماکروها در اسناد آفیس و توجه به منبع ایمیل‌های دریافتی، از انتقال این‌گونه بدافزارها جلوگیری شود.

نشانه‌های آلودگی (IoC):
IP:
•    162.244.32[.180
هش‌ها:
•    a3088d98d46a7202edeafeb744dbd822c647c72ce0d3949f895106ff3e201c9c
•    62a7423f2ac8d80caa35fc3613b0cc6e01b22a7cb5e898176f4f42c3cf9f20be
•    5bed1e16ec8177c92265ccfaf29666ed29b3f65f17d040a4ff356e70551d3ef0


منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.