بدافزار فاقد پرونده‌ی kovter به‌عنوان یک به‌روزرسانی فایرفاکس ظاهر می‌شود!

یک نسخه‌ی جدید از بدافزار تبلیغاتی Kovter مشاهده شده که با به‌کارگیری مجموعه‌ای از فنون مطمئن می‌شود که می‌تواند به‌صورت موفقیت‌آمیزی رایانه‌‌ها را آلوده کند و در عین ‌حال از خطر تشخیص داده شدن در امان بماند. هفته‌ی گذشته، محققان اعلام کردند که این بدافزار به انجام تغییراتی در درون نرم‌افزارهای Adobe Flash Player و Microsoft Internet Explorer می‌پردازد تا مطمئن گردد که سایر تهدیدها دور نگه داشته می‌شوند.

چند ماه پیش محققان شرکت Check Point کشف کردند که این بدافزار با قابلیت‌های جدید باج‌افزاری به‌روزرسانی شده است: این بدافزار قادر است که پرونده‌های کاربران را ترجمه کند، اگرچه که تمرکز عمده‌ی آن بیشتر بر فرار از تشخیص داده شدن است تا رمزنگاری. همچنین محققان می‌گویند که این بدافزار با ذخیره‌ی داده‌ها در رجیستری برای انجام نفوذ، شناسایی، تشخیص و حضور مستمر سعی می‌کند تا از تشخیص داده شدن فرار کند.

اکنون گروه محققان بدافزار Barkley می‌گویند که یک حمله‌ی توزیع Kovter تلاش دارد تا کاربران را فریب دهد و خود را به شکل یک به‌روزرسانی مرورگر فایرفاکس معرفی کند. این شرکت تحقیقات امنیتی عنوان می‌کند که این حمله برای فریب کاربران بر پایه‌ی شیوه‌ی حمله drive-by-download قرار دارد: به‌محض اینکه قربانی به یک وب‌گاه آلوده دسترسی یافت به او یک به‌روزرسانی جعلی ارائه می‌شود.

همچنین محققان یادآور شده‌اند که این بدافزار فاقد پرونده‌ قادر است سامانه‌های رایانه‌ای را سرقت کند و از راه دور بدافزارهایی که قابلیت به‌روزرسانی دارند در آن‌ها نصب کند و حملات تقلب در کلیک کردن و عملیات باج‌افزاری را علیه آن‌ها صورت دهد و از گواهینامه‌های قانونی برای اطمینان از اینکه راه‌حل‌های ضد بدافزاری و نقطه انتهایی حضور آن را تغییر نمی‌دهند، استفاده کند.

هنگامی‌که این بدافزار اجرا می‌شود، یک اسکریپت کدگذاری شده و تعبیه‌شده در درون آن در مکان‌های مختلفی از رجیستری نوشته می‌شود و از PowerShell.exe برای اهداف مخرب استفاده می‌شود. تجزیه‌وتحلیل کلید رجیستری نشان‌دهنده‌ی یک برنامه‌ی PowerShell دیگر است و محققان مشاهده کرده‌اند که از PowerShell سوءاستفاده شده تا یک در داخل سامانه یک کد shell قرار دهند.

Kovter اولین بار در سال گذشته اولین آلودگی‌های فاقد پرونده خود را نشان داد، با این ‌حال این اولین به‌روزرسانی آن است که در این زمان مشاهده می‌شود. درواقع، محققان می‌گویند که این بدافزار در چند سال گذشته، دستخوش برخی از تغییرات عمده شده است و می‌توان از راه دور آن را برنامه‌ریزی کرد و قابلیت‌های پیشرفته‌ای را افزود.

برکلی کشف کرده است که گواهینامه‌های قانونی صادرشده از COMODO در این حمله‌ی جدید مورد سوءاستفاده قرار می‌گیرند و به مسئولان اطلاع داده تا این امضاء را لغو کنند. همچنین محققان می‌گویند درحالی‌که قابلیت تشخیص داده شدن این نوع جدید Kovter در اولین مرحله صفر بود، سازندگان ضد بدافزارها محصولات خود را به‌روزرسانی کرده و اکنون آن را مسدود کرده‌اند.

در این ‌بین کاربران می‌توانند با اجتناب از به‌روزرسانی فایرفاکس در خارج از روند استاندارد فایرفاکس، از خود محافظت کنند. برای اطمینان از آخرین نسخه‌ی این مرورگر محبوب، کاربران باید به سراغ گزینه‌ی About در منوی Help بروند که به آن‌ها اطلاعاتی را در مورد هرگونه به‌روزرسانی موجود ارائه می‌کند و امکان نصب نسخه‌های جدید را نیز برای آن‌ها مهیا می‌کند.

همچنین به کاربران توصیه شده است تا یک نرم‌افزار ضد بدافزار را روی رایانه‌های خود نصب کنند که موجب افزایش سطح حفاظت آن‌ها می‌شود. همچنین آن‌ها باید این نرم‌افزار را به‌روز نگه دارند، ولی در مورد الزامات ناخواسته و غیرمعمول به‌روزرسانی و بارگیری نرم‌افزاری باید شکاک و بدبین باشند. نویسندگان بدافزارها پیوسته به دنبال راهی جدید می‌گردند تا از تشخیص داده شدن فرار کنند و حتی کاربرانی که دارای دانشی در این زمینه هستند نیز ممکن است درصورتی‌که توجه کافی نکنند قربانی آن‌ها شوند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.