هشدارهای افتایی
یک منتقل کننده بدافزار جدید کشف شده است که رایانه‌ها را توسط یک payload مخرب با نام Netwire آلوده می‌کند. این payload در دو فایل اجرایی مخرب مخفی شده است و با استفاده از مبهم‌سازی، نرم‌افزارهای ضدبدافزار را دور می‌زند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی Bleeping Computer، این منتقل‌کننده WiryJMPer نام دارد که توسط پژوهشگران Avast کشف شده است. payload منتقل شده NetWire است که با نام‌های Recam یا NetWireRC نیز شناخته می‌شود. NetWire یک تروجان با دسترسی از راه دور (RAT) است که از سال 2012 بطور گسترده مورد استفاده قرار گرفته و قابلیت‌های کنترل از راه دور را دارد. تمرکز این payload بر روی کلیدنگاری و سرقت گذرواژه است تا برای مهاجمان امکان دسترسی غیرمجاز و کنترل از راه دور رایانه‌های قربانیان را فراهم کند. 
در ابتدا بنظر می‌رسد که WiryJMPer یک فایل اجرایی WinBin2Iso (برنامه‌ای برای تبدیل CD/DVD/Blu-ray به فایل‌های ISO) باشد، اما حجم آن بیش از سه برابر حالت عادی است. باینری دوم که بدافزار از آن برای پنهان شدن استفاده می‌کند، کیف پول الکترونیکی ABBC Coin، یک رمزارز مبتنی بر زنجیره بلوکی، است. نکته قابل توجه درباره این بدافزار، نحوه مبهم‌سازی غیرمعمول آن است. نوع مبهم‌سازی بدافزار باعث شده است تا شناسایی آن در VirusTotal با نرخ پایینی انجام شود و از 66 مورد، تنها 6 مورد آن شناسایی شده است. تلاش برای کسب پایداری این بدافزار در سیستم قربانی با کپی کردن فایل باینری اصلی در آدرس APPDATA%\abbcdriver.exe% و ایجاد میانبر آن در پوشه Startup انجام می‌شود.

نشانه‌های آلودگی (IoC):
هش‌ها:
•    04a92a7e171b583c40cee9d2760b20fa8324e45f3938f7d41f48065829103ebd
•    0631ace562e077814c7788b9fe10c865579a29cf180654658f30ab38387a13e3
•    125cf6b01deb86df16e0961021a57b28177b8efedc6bf4f617bef940cf4b9d74
•    4a3d3e85d09074ed1e1de5e48c97c4e42fbcb3cfb44b213c0224ffb191dcd1c2
•    4b7bd8581b85bb33d4748aaeda6a3e5ec8f930751688ffb6854522411f3ad275
•    6daa1ff03fdbbb58b1f41d2f7dc550ee97fc5b957252b7f1703c81c50b3d406f
•    6e1cfde5278d03c6df204d845d165673df89cfd047f4eda97816ee351115a652
•    7477159797a7f06e3c153662bfef624d056e64b552f455fe53e80f0afb0a1860
•    81740ad6a3f0e5c1698132524e0d4b23b4f4773761bca68fdaef33748ef299e3
•    880de7e64c0678a38ef6964b6ff2f48e426449426b58a516556285421c223374
•    d1457c238b99ca8904693551f92310acae561c68c20a8caafe3391d927d7618e
•    ea855c2b53419dcd81e677520d4e55d41cb5ce2933f550edd6520cce15da93fc
•    f1963b44a9c887f02f6e9574aea863974be57a033600047b8e0911f9dbcb9914
سرور C&C:
•    46.166.160[.]158

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.