هشدارهای افتایی
پژوهشگران بدافزار جدیدی را کشف کرده‌اند که می‌تواند مرورگرهای Chrome و Firefox را برای شناسایی ترافیک رمزگذاری شده رایانه قربانیان تغییر دهد. این تهدید، گواهی‌های TLS قربانی را دستکاری و به انجام حملات مرد میانه‌ای (MitM) به ترافیک رمزگذاری شده کمک می‌کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، این تهدید Reductor نام‌گذاری و در عملیاتی بین ماه‌های آوریل و آگوست مشاهده شده است. علاوه بر دستکاری ترافیک TLS، Reductor دارای مجموعه‌ای از توابع دسترسی از راه دور مانند بارگذاری، بارگیری و اجرای فایل نیز است.
عوامل این تهدید کدهای مرورگرهای Chrome و Firefox را مطالعه کرده‌اند و توابع تولید عدد شبه تصادفی (PRNG) آن را دستکاری کرده‌اند. تابع PRNG برای تولید یک توالی تصادفی از اعداد در ابتدای یک بسته در handshake اولیه اتصال در مرورگرها استفاه می‌شود. بدافزار Reductor کد PRNG مرورگر را تغییر می‌دهد تا شناسه‌های مبتنی بر نرم‌افزار و سخت‌افزار را که مختص هر کاربر است، به آن اضافه شوند. با این کار مهاجم می‌تواند ترافیک رمزگذاری شده قربانی را دنبال کند.
Reductor یک حمله MitM را به خودی خود اجرا نمی‌کند، اما گواهی‌های نصب شده به انجام این نوع حمله کمک می‌کنند. پژوهشگران در حین تجزیه و تحلیل Reductor متوجه شدند که کد این بدافزار شباهت‌های زیادی به COMPfun دارد. COMPfun یک تروجان مربوط به سال 2014 است که بنظر می‌رسد با گروه Turla APT مرتبط است.
مهاجمین از دو سناریو برای توزیع Reductor استفاده می‌کنند. در سناریو اول از فایل‌های نصبی برنامه‌هایی مانند Internet Download Manager، Office Activator و غیره استفاده می‌شود و بدافزار در آن‌ها مخفی می‌شود. در سناریو دوم اهداف قبلا به تروجانCOMpfun  آلوده شده‌اند و از سرور فرمان و کنترل آن Reductor منتقل می‌شود.
نشانه‌های آلودگی (IoC):
هش فایل‌ها:
•    27CE434AD1E240075C48A51722F8E87F
•    4E02B1B1D32E23975F496D1D1E0EB7A6
•    518AB503808E747C5D0DDE6BFB54B95A
•    7911F8D717DC9D7A78D99E687A12D7AD
•    9C7E50E7CE36C1B7D8CA2AF2082F4CD5
•    A0387665FE7E006B5233C66F6BD5BB9D
•    F6CAA1BFCCA872F0CBE2E7346B006AB4
دامنه‌ها:
•    adstat.pw
•    bill-tat.pw

منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.