انتشار بات‌نت Kelihos از طریق درایوهای یواس‌بی

محققان امنیتی هشدار دادند بدافزار Kelihos که در قالب یک بات‌نت برای مدت طولانی کاربران را هدف قرار داده بود، اینک از طریق دستگاه‌های USB در حال انتشار است.

بات‌نت Kelihos چندین سال است که وجود دارد و از فعالیت‌های دفاعی در یک دهه‌ی قبل جان سالم به در برده است. در فعالیت‌های سال قبل این بدافزار، هزاران بات جدید به این مجموعه بات‌نت اضافه شده است. بات‌نت Kelihos برای توزیع باج‌افزارهایی مانند MarsJoke ،Wildfire و Troldesh و بسیاری تروجان‌های دیگر از جمله Panda ،Zeus ،Nymain و Kronos مورد استفاده قرار می‌گیرد.

مدل کسب‌وکار این بات‌نت «هرزنامه به‌عنوان سرویس» است و کاربران زیادی را در مناطق جغرافیایی مختلف هدف قرار داده است. این بات‌نت در آخرین پویش خود کاربران کانادایی را هدف قرار داده بود و آن‌ها را به سمت وب‌گاه جعلی بانک Tangerine هدایت می‌کرد. همچنین بدافزار کاربرانی که آدرس رایانامه‌ی آن‌ها حاوی kz. است را از طریق پیوندی به وب‌گاه Ecstasy هدایت می‌کرد.

رایانامه‌ای که این بدافزار برای قربانیان ارسال می‌کند حاوی یک صفحه‌ی وب است که کاربر را ترغیب می‌کند بر روی یک دکمه با عنوان «حساب کاربری شما در Tangerine از کار افتاده است» کلیک کند. یک نسخه‌ی HTML از این صفحه‌ی وب نیز برای قربانیان بالقوه نمایش داده می‌شود که با کلیک بر روی گزینه‌ی «اطلاعات بیشتر» به سمت یک وب‌گاه جعلی هدایت می‌شوند. در این صفحه‌ی جعلی از کاربران خواسته می‌شود با وارد کردن اطلاعات خود، حساب کاربری را تأیید کنند و از این طریق گواهی‌نامه‌های کاربران به سرقت خواهد رفت.

برچسبِ جغرافیایی kz. که در انتهای آدرس‌های رایانامه جستجو می‌شود، شیوه‌ی جدیدی است که بات‌نت Kelihos از آن بهره می‌برد. در پیام هرزنامه که عنوان آن به زبان روسی نوشته شده، قربانیان به سمت یک وب‌گاه غیراخلاقی هدایت می‌شوند.
بخش جالب حمله این موضوع است که بدافزار هر درایو متصل به رایانه‌ی قربانی را با یک نسخه‌ی باینری ِاصلی از این بدافزار آلوده می‌کند. محققان امنیتی می‌گویند این بدافزار برای آلوده کردن درایوهای متصل مثل دستگاه‌های USB طراحی شده تا پویش جدیدی از این بات‌نت راه‌اندازی شود.

بر روی دستگاه USB قربانی یک پرونده‌ی اجرایی با نام porn.exe ذخیره شده که از دید کاربران مخفی است. محققان امنیتی می‌گویند این پرونده‌ی اجرایی همان بات‌نت Kelihos است.
محققان امنیتی همچنین کشف کردند تابعِ ایجاد پرونده در این بدافزار به یک پرونده‌ی اجرایی دیگر نیز پیوند دارد. بدافزار تلاش دارد با استفاده از این تابع پرونده‌های متعددی را باز کند و اگر این روند با شکست مواجه شد، پس از نوشتن تمامی این پرونده‌های مخرب در یک پرونده‌ی باینری، آن را به یک پرونده‌ی اجرایی تبدیل می‌کند. در ادامه نیز بدافزار برای پرونده‌های اجرایی و دایرکتوری‌هایی که مخفی هستند، پرونده‌ی میان‌بر ایجاد می‌کند.

محققان امنیتی می‌گویند: «یک پرونده‌ی Autorun.inf برای اجرای این پرونده‌ ایجاد نشده است اما یک پرونده‌ی میان‌بر با دستور ’C:\WINDOWS\system۳۲\cmd.exe F/c ‘start %cd%\porn.exe در کنار سایر پرونده‌های میان‌برِ مخفی وجود دارد.»

وقتی پرونده‌ی اجرایی راه‌اندازی شد، مانند بدافزار معمولی Kelihos عمل می‌کند هرچند محققان گفتند هنوز قادر نیستند با استفاده از این بات‌نت درایوی را آلوده کنند و بررسی‌ها برای شناسایی سازوکار آلوده کردن درایوهای USB همچنان ادامه دارد. همچنین محققان حدس می‌زنند نسخه‌ی جدید این بدافزار با نسخه‌ی باینری اصلی یکسان است.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap