هشدارهای افتایی
هزاران رایانه ویندوزی در سراسر جهان به نوعی بدافزار آلوده شده‌اند که نسخه‌ای از Node.js را بارگیری و نصب می‌کند تا سیستم‌های آلوده را به پراکسی تبدیل کرده و از آن‌ها سوء استفاده کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، این بدافزار در گزارش مایکروسافت Nodersok و در گزارش سیسکو Divergent نام‌گذاری شده است و از طریق آگهی‌های مخرب که به اجبار فایل‌های HTA (برنامه HTML) را بر روی رایانه‌های کاربران بارگیری می‌کند، توزیع می‌شود.
کاربرانی که فایل‌های HTA مخرب را اجرا کنند، یک فرآیند آلودگی چند مرحله‌ای با اسکریپت‌های اکسل، جاوااسکریپت و PowerShell در رایانه آن‌ها آغاز می‌شود که در نهایت منجر به نصب بدافزار Nodersok می‌شود. این بدافزار دارای چندین مؤلفه است که هر کدام نقش خاص خود را ایفا می‌کنند. ماژول PowerShell در بدافزار، Windows Defender و Windows Update را غیرفعال می‌کند. ماژول دیگر بدافزار سطح دسترسی آن را به سطح SYSTEM ارتقا می‌دهد. همچنین دو ماژول دیگر WinDivert و Node.js در این بدافزار وجود دارد که برنامه‌های قانونی هستند. مورد اول برنامه‌ای برای دریافت و تعامل با بسته‌های شبکه و ماژول دوم یک ابزار شناخته شده برای اجرای جاوااسکریپت روی سرورهای وب است. طبق گزارش‌های مایکروسافت و سیسکو، بدافزار از این دو برنامه قانونی برای آغاز پراکسی SOCKS روی میزبان‌های آلوده استفاده می‌کند. به ادعای مایکروسافت، بدافزار، میزبان‌های آلوده را به پراکسی تبدیل کرده تا بتواند ترافیک مخرب را منتقل کند. از سوی دیگر ، سیسکو گزارش کرده که از این پراکسی‌ها برای سرقت کلیک استفاده شده است.
از آنجایی که مایکروسافت این بدافزار را گزارش کرده است، Windows Defender آن را شناسایی خواهد کرد. برای جلوگیری از آلودگی، بهترین توصیه این است که کاربران هیچ فایل HTA را اجرا نکنند، به خصوص فایل‌هایی که منابع آن‌ها نامعتبر است. طبق آمارهای مایکروسافت، Nodersok توانسته است در طی چند هفته گذشته هزاران سیستم را آلوده کند.
نشانه‌های آلودگی (IoC):
هش‌ها:
•    47b5dac9152220fbbf122eff89ac93d42e9196f5ab665a2a6d99594246ab8a81
•    062688aec1bdf1208bd72a77696e1fbcd1076f54bd6e59141ed12b6f8e3ba32c
•    c7052f4676102bfe39ab19c227832861caa2959933e296ee1806973619948624
•    781adc919a705ca3e8a82fe1d1eac68f651c50ba402172aea033eaec7879e932
•    05fbd38ea0b99621d22ce5f057173fdec40f3dccd63f887e1c301766c6597714
•    2135acda2d2739773fbb827e8d180ac901c040d2f071127bb597a714591672cd
•    72b6a8bf9598bd445e26a04ab58be62ed3941fb1fe4cf4a094a6272a77b66009
•    ba04eacaa80bb5da6b02e1e7fdf3775cf5a44a6179b2c142605e089d78a2f5b6
•    a82dd93585094aeba4363c5aeedd1a85ef72c60a03738b25d452a5d895313875
•    2f4a9ef2071ee896674e3da1a870d4efab4bb16e2e26ea3d7543d98b614ceab9
•    77498f0ef4087175aa85ce1388f9d02d14aaf280e52ce7c70f50d3b8405fea9f
•    b2d29bb9350a0df93d0918c0208af081f917129ee46544508f2e1cf30aa4f4ce
•    bf2cdd1dc2e20c42d2451c83b8280490879b3515aa6c15ab297419990e017142
•    ba04eacaa80bb5da6b02e1e7fdf3775cf5a44a6179b2c142605e089d78a2f5b6
•    a7656ccba0946d25a4efd96f4f4576494d5f1e23e6ad2acc16d2e684656a2d4f
•    607b2f3fd1e73788a4d6f5a366c708dbb12d174eba9863ade0af89ca40e1fdba
URLها:
•    hxxps://1292172017[.]rsc[.]cdn77[.]org/images/trpl.png
•    hxxps://1292172017[.]rsc[.]cdn77[.]org/imtrack/strkp.png
IPها:
•    95[.]70[.]244[.]209
•    13[.]228[.]224[.]121
•    54[.]241[.]31[.]99
•    103[.]31[.]4[.]11
•    103[.]31[.]4[.]54
•    198[.]41[.]128[.]74
•    198[.]41[.]128[.]55
•    131[.]0[.]72[.]36
•    131[.]0[.]72[.]59
•    188[.]114[.]96[.]87
•    188[.]114[.]96[.]116
•    43[.]250[.]192[.]98
•    43[.]250[.]192[.]87
•    217[.]160[.]231[.]125
•    208[.]91[.]197[.]25
•    184[.]168[.]221[.]42
•    103[.]224[.]248[.]219
•    31[.]31[.]196[.]120
•    217[.]160[.]223[.]93
•    103[.]224[.]248[.]219
•    184[.]168[.]221[.]45
•    119[.]28[.]87[.]235
•    23[.]227[.]38[.]32
•    50[.]63[.]202[.]39
•    216[.]239[.]34[.]21
•    83[.]243[.]58[.]172
•    5[.]9[.]41[.]178
•    88[.]198[.]26[.]25
•    62[.]75[.]189[.]110
•    109[.]239[.]101[.]62
•    107[.]186[.]67[.]4
•    184[.]168[.]221[.]63
•    45[.]55[.]154[.]177
•    104[.]28[.]2[.]169
•    202[.]56[.]240[.]5
•    89[.]163[.]255[.]171
•    185[.]243[.]114[.]111

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.