تکامل تروجان تبلیغاتی Kovter و تبدیل شدن به یک باج‌افزار

یکی از جدیدترین باج‌افزارهای کشف شده، Kovter نام دارد. این باج‌افزار قطعه‌ی تکامل‌یافته از یک تروجان است که چند سال پیش به عنوان یک بدافزار برای ترساندن پلیس توسعه پیدا کرده بود و در نهایت اکنون یک بدافزار برای رمزنگاری پرونده‌ها است.
این تروجان که اولین بار در سال ۲۰۱۳ هنگامی کشف شد که در حال فعالیت به عنوان یک ترس‌افزار پلیس بود، از یک پرونده‌ی اجرایی چند وجهی استفاده می ‌کند که بر روی دستگاه آلوده باقی می‌ماند تا فعالیت‌های کاربر را از طریق مشاهده آن یاد بگیرد. به محض اینکه کاربر تلاش کند تا یک پرونده‌ی ناخواسته را بارگیری کند، این بدافزار ظاهر شده و پیام می‌دهد که کاربر قانون را نقض کرده است و از وی می‌خواهد تا جریمه‌ای پرداخت کند.
یک سال بعد، این برنامه مخرب، شروع به انجام فعالیت‌های تقلب در تبلیغات کرد، و از نمونه‌های مختلفی استفاده نمود تا از دست ضدبدافزارها فرار کند، و در عین حال به ترافیک اینترنت کاربران نیز نظارت می‌کرد.
محققان شرکت چک‌پوینت در گزارش اطلاع داده‌اند که Kovter از cmd.exe برای فراخوانی دامنه MrAntiFun.net استفاده کرده است؛ این شیوه فراخوانی منجر به این می‌شد که مرورگر پیش‌فرض اجرا شود، و در اثر آن می‌توانست داده‌هایی را در مورد رایانه آلوده به همراه مکان آن جمع‌آوری کند.
سال گذشته، روش‌های سوء‌استفاده در این تروجان تقلب در تبلیغات، در اصلاحیه‌های آسیب‌پذیری‌ها در ادوبی فلش پلیر و مرورگر اینترنت اکسپلورر در نظر گرفته شد تا دیگر بدافزارها را از سامانه قربانیان، دور نگه دارد.
علاوه بر این محققان متوجه شدند که این بدافزار تکنیک‌هایی را شبیه به اسکریپت بدافزار Poweliks به خدمت می‌گیرد و برای اجرا کردن کد اجرایی، تروجان از Windows PowerShell استفاده می‌کند که در نتیجه آلودگی آن، به پرونده‌ها ارتباطی پیدا نمی‌کند.
همچنان‌که شرکت چک‌پوینت توضیح می‌دهد، Kovter شروع به ذخیره داده‌ها در رجیستری برای نفوذ، شناسایی و حضور مستمر می‌کند و این موجب می‌شود که این بدافزار را به سختی بتوان توسط سامانه‌های مبتنی بر امضاء کشف کرد. در آن زمان برنامه‌های مخرب هم شامل تقلب در تبلیغات و هم ترس‌افزار و هم نفوذ به داده‌ها می‌شدند.
امسال، Kovter تبدیل به بخشی از یک روند باج‌افزاری شده است، هر چند که هنوز هم تمرکز آن بیشتر بر گریز از کشف است تا رمزگذاری پرونده‌ها.
محققان کشف کرده‌اند که این بدافزار تنها ابتدای پرونده‌ها را مبهم می‌کند، که به سرعت موجب «رمزگذاری» بیشتر پرونده‌هایی می‌شود که به نظر آن جالب توجه می‌آید و کلید رمزگشایی را به صورت محلی ذخیره می‌کند، که همین امر موجب می‌شود تا آسان‌تر بتوان آن را شکست.
این باج‌افزار از cmd.exe برای پیمایش مستقیم استفاده می‌کند و در عین حال به مشاهده پرونده‌ها برای رمزنگاری آن‌ها می‌پردازد، که در نتیجه موجب گریز از ایجاد سوء‌ظن می‌شود. این بدافزار می‌تواند درایوها را جهت رمزنگاری پرونده‌ها جستجو کند، سپس پسوند .crypted را به آن‌ها تخصیص می‌دهد و ۳۷۱۲۵۵.exe را برای ایجاد ابهام فراخوانی می‌کند.
نامه ارسالی از این باج‌افزار به شکل یک پرونه‌ید متنی با استفاده از notepad نشان داده می‌شود.
این باج‌افزار همان عملیات رمزنگاری را برای همه درایوها از جمله درایوهای به اشتراک گذاشته شده در شبکه را که کاربر اجازه نوشتن در آن را دارد، ادامه می‌دهد.
تامی لیدرفارب، محقق ارشد امنیتی و مدیر فناوری در شرکت چک‌پوینت می‌گوید: «Kovter به مرور زمان به شکل قابل توجهی تغییر یافته است. اگر چه نمونه‌های مختلف اهداف مختلفی را دنبال می‌کنند و از تکنیک‌های جایگزینی استفاده می‌کنند، اما برخی از این ویژگی‌ها در میان همه نمونه‌ها ثابت باقی مانده است. همه‌ی انواع Kovter بر فرار از کشف شدن، تأکید دارند. هیچ شکی نیست که Kovter به تکامل خود ادامه خواهد داد».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap