هشدارهای افتایی
محققان از شناسایی تروجان جدیدی با عنوان QNodeService خبر داده‌اند که ظاهراً در قالب فیشینگ‌های با الگوی بیماری کووید 19 منتشر می‌شود.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، اولین بار یک محقق امنیتی، درهم‌ساز (Hash) نمونه‌ای از این تروجان را بر روی توییتر به اشتراک گذاشت. بر طبق آمار VirusTotal در آن زمان فایل مذکور با نام Company PLP_Tax relief due to Covid-19 outbreak CI+PL.jar تنها توسط ضدویروس ESET قابل شناسایی بود. 
اکنون شرکت Trend Micro در گزارشی به بررسی QNodeService پرداخته است. Trend Micro از نام فایل مورد اشاره آن محقق اینطور نتیجه‌گیری کرده که QNodeService احتمالاً از الگوهای مرتبط با کووید ۱۹ برای انتشار خود بهره می‌گیرد.
این تروجان از طریق یک دریافت‌کننده Java که در یک فایل jar. تزریق شده به سیستم قربانی راه می‌یابد.
موضوع غیرعادی در خصوص این بدافزار، نوشته شدن آن در بستر Node.js است. معمولاً از Node.js برای توسعه سرورهای وب استفاده می‌شود. محققان معتقدند که استفاده از این بستر غیرمتداول تکنیکی برای عبور از سد محصولات ضدویروس بوده است.
دریافت‌کننده Java که توسط Allatori مبهم‌سازی شده، Node.js، یکی از فایل‌های qnodejs-win32-ia32.js و qnodejs-win32-x64.js (بسته به معماری سیستم عامل) و فایلی با نام wizard.js را دریافت می‌کند.
وظیفه wizard.js تسهیل ارتباط میان QNodeService و سرور فرماندهی (C2) و همچنین ماندگار کردن بدافزار با ایجاد کلیدهای Run در محضرخانه (Registry) است.
پس از اجرا بر روی سیستم قربانی، QNodeService قادر به دریافت، ارسال و اجرای فایل‌ها خواهد بود. همچنین QNodeService اقدام به سرقت اطلاعات اصالت‌سنجی در مرورگرهای Google Chrome و Mozilla Firefox می‌کند.
علاوه بر آن، تروجان اطلاعات سیستم شامل نشانی IP و موقعیت آن را سرقت کرده، فایل‌های مخرب بیشتری را دریافت نموده و داده‌های جمع‌آوری شده را به سرور فرماندهی ارسال می‌کند.
گرچه این قابلیت‌ها را در بسیاری از تروجان‌ها می‌توان دید اما تابعی جالب در آن که از طریق فرمان http-forward فراخوانی می‌شود QNodeService را با سایر تروجان‌ها متمایز می‌کند. http-forward مهاجمان را قادر به دریافت فایل‌ها بدون برقراری ارتباط مستقیم به دستگاه قربانی می‌کند. برای دستیابی به فایل‌های ماشین، یک درخواست مسیر معتبر و توکن دسترسی نیاز است. بدین‌منظور سرور فرماندهی با ارسال file-manager/forward-access اقدام به ایجاد یک نشانی URL و توکن دسترسی می‌کند. از اطلاعات مذکور بعدتر در فرمان http-forward استفاده می‌شود.
Trend Micro معتقد است که بدافزار بر روی ماشین‌های با سیستم عامل Windows تمرکز داشته اما در عین حال اعلام کرده که نشانه‌هایی در کد آن یافته که سازگاری با بسترهای دیگر را در آینده محتمل می‌کند.
مشروح گزارش Trend Micro در لینک زیر قابل دریافت و مطالعه است: همان‌طور که در لینک زیر نیز پرداخته شده بود تروجان بانکی Zeus Sphinx هم که به‌طور مستمر خود را به‌روزرسانی و مجهز به قابلیت‌های مخرب بیشتر می‌کند با سوءاستفاده از نگرانی جهانی از بحران همه‌گیری کووید ۱۹ در حال انتشار است. در کارزار Zeus Sphinx اینطور وانمود می‌شود که ایمیل حاوی اطلاعاتی مرتبط با کمک مالی در خصوص بیماری کووید ۱۹ است.

نشانه‌های آلودگی:
درهم‌ساز
Java downloader 5210AFA4567B98FB3F8AEE513206B5FD466D3AFE01DD576A2BEE4A623F2CDAE2
wizard.js 9FBAFF43A596921EFD7BB3B015A541A00633320C3DE66BE795BADA098D37F8FE
qnodejs-win32-ia32.js EB00CD731EE622EAF53BFD19A789E494872BACA156455C38CA3035B2E33CC152
qnodejs-win32-x64.js F3C5F8EF9886DC300BCE3E6DB0B973B3408AE82EB5789C4BA72FEC27D61CA693
wizard.js 5CCED1119F4FDC175967594EC4671EF74E645D46F5F7ED1200513C7EA7DC31CF
qnodejs-win32-ia32.js 76B8E43AB3E38B8635588FBD9C9A527022691962DD158A480671DDF98C7110F8
qnodejs-win32-x64.js 16376D225C3B16E6E0D50259241939DE6AD19A82668F650AACDAF173576C5003


منبع:
(با سپاس از همکاری شرکت مهندسی شبکه گستر در تهیه این گزارش)
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.