هشدارهای افتایی
نسخه جدیدی از تروجان بانکی Dridex کشف شده است که می‌تواند از شناسایی توسط محصولات ضدویروس قدیمی جلوگیری کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، بدافزار Dridex یک تروجان شناخته شده است که متخصص در سرقت اطلاعات احرازهویت بانکی است. این بدافزار که ابتدا در سال 2014 کشف شد، دارای توسعه‌دهندگان فعالی است که به طور مداوم در حال تکامل قابلیت‌ها و بردارهای حمله آن هستند.
در ماه ژانویه سال گذشته، پژوهشگران امنیتی دریافتند که Dridex زنجیره آلودگی خود را گسترش داده است و نه تنها کاربران را از طریق فیشینگ هدف قرار می‌دهد، بلکه از طریق FTPهای آسیب‌پذیر نیز گسترش می‌یابد. در اویل ماه جاری نسخه جدیدی از این بدافزار کشف شده است که از تکنیک لیست سفید (Whitelisting) استفاده می‌کند تا عناصر Windows Script Host را مسدود کند. بدافزار با سوء استفاده از محافظت‌های اجرایی ضعیف و سیاست‌های ابزار خط فرمان (WMI (WMIC، می‌تواند از اسکریپت‌های XLS برای دور زدن اقدامات امنیتی استفاده کند.
Dridex همچنین زیرساخت‌های کتابخانه خود را افزایش داده است. پژوهشگران امنیتی می‌گویند که فایل‌های DLL این بدافزار 64 بیتی هستند (به همراه هش‌های SHA256 مرتبط) که از نام فایل‌هایی که توسط ویندوز قابل اجرا هستند، استفاده می‌کنند. با این حال، نام فایل‌ها و هش‌ها مجدد تغییر می‌کنند و هر بار که قربانی وارد یک میزبان ویندوز آلوده می‌شود، تغییر می‌یابند. نحوه نفوذ این بدافزار از طریق اسناد مخرب در پیوست ایمیل‌های اسپم است.
نمونه‌ای که از این بدافزار در VirusTotal بارگذاری شده، تنها توسط 6 از 60 برنامه ضدویروس به عنوان بدافزار شناسایی شده است. در تاریخ 27 ژوئن (6 تیر) این تعداد به عدد 16 افزایش یافته است، اما با این حال باز هم تعدادی زیادی از نرم‌افزارهای ضدویرویس آن را شناسایی نمی‌کنند. 
نشانه‌های آلودگی (IoC):
دامنه:
•    ssl-pert[.]com
نام فایل اجرایی:
•    servern.exe
هش فایل اجرایی:
•    0a5c6944c3622a303803a058f85304b0
هش فایل سند مخرب:
•    047e1d697768831a05f2c833b7fd3e25

منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.