هشدارهای افتایی
مجرمین سایبری،  گونه‌ای از تروجان را که بیش از 5 سال برای سرقت اطلاعات احرازهویت و سایر اطلاعات مربوط به قربانیان استفاده می‌کردند، اخیرا بروز کردند،  به طوریکه با استفاده از دستورات مجاز جاوا رفتار مخرب خود را پنهان می‌کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، این تروجان Adwind نام دارد که با اسامی AlienSpy و jRAT نیز شناخته می‌شود. Adwind اولین بار در سال 2013 مشاهده شد که به صورت یک بدافزار به عنوان سرویس (as-a-service) در اختیار مجرمین سایبری قرار گرفت تا از قابلیت‌های آن برای سرقت اطلاعات احرازهویت، ثبت رخدادهای صفحه کلید، ضبط صدا و غیره علیه قربانیان استفاده کنند.
این بدافزار می‌تواند چندین سیستم عامل را هدف قرار دهد و به طور معمول قربانیان را از طریق ایمیل‌های فیشینگ، فایل نصبی مخرب نرم‌افزارها یا وب‌سایت‌های مخرب، آلوده می‌کند.
نوع جدیدی از این بدافزار اخیرا شناسایی شده است که به نظر می‌رسد سیستم عامل ويندوز و برنامه‌های متداول ويندوز از جمله Internet Explorer و Outlook را همراه با مرورگرهای مبتنی بر Chromium، مورد هدف قرار می‌دهد. 
جدیدترین نوع Adwind توسط یک فایلJAR  منتقل می‌شود و هدف آن در پشت چندین لایه مبهم‌سازی و رمزگذاری شده قرار دارد که باعث ناکارآمدی تشخیص مبتنی بر امضا می‌شود.
هنگامی که بدافزار لیست آدرس‌های سرور فرمان و کنترل را باز کند، Adwind فعال شده و قادر به دریافت دستورالعمل‌ها و ارسال اطلاعات سرقت شده از جمله اطلاعات احرازهویت بانکی، برنامه‌های تجاری و هرگونه گذرواژه ذخیره شده در یک مرورگر، به سرور میزبان است.
در آخرین نسخه Adwind، عملکرد بدافزار با استفاده از دستورات جاوا مخفی می‌شود. توسعه‌دهندگان بدافزار این کار را با مخفی کردن فایل‌های JAR مخرب در بین تعدادی از برنامه JAR مشروع انجام دادند و با استفاده از رمزگذاری، تشخیص فایل JAR اولیه و بارگذاری فایل‌های JAR اضافی از یک سرور از راه دور را دشوار کردند. تمامی این موارد تشخیص فعالیت غیر طبیعی را دشوار می‌کنند.
فعالیت مخرب Adwind زمانی قابل شناسایی است که اطلاعات به سرقت رفته در حال ارسال به سرور از راه دور هستند. بدافزار در طی این فرایند از دستوراتی غیر از جاوا استفاده می‌کند. با این حال، در این مرحله آسیب مورد نظر بدافزار به پایان رسیده است. 
بررسی ترافیک وب و ایمیل از راه‌کارهایی است که می‌تواند برای شناسایی چنین بدافزارهایی بکار رود.

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.