کد بدافزار هودینی نیز به‌طور برخط منتشر شد

محققان امنیتی هشدار دادند که کد مربوط به یک کِرم دیگر نیز به‌طور برخط منتشر شده است. به‌ نظر می‌رسد در چند ماه گذشته، کد بدافزار هودینی (Houdini) در وب‌گاه‌های مختلف نزدیک به هزاران بار منتشر شده است.

کِرم هودینی نزدیک به ۴ سال است که فعالیت می‌کند و شناسایی اولیه‌ی آن به سال ۲۰۱۴ میلادی برمی‌گردد. این بدافزار بیشتر مناطق آسیا و اقیانوس آرام را هدف حملات خود قرار داده بود ولی با این‌حال در سال گذشته شاهد بودیم که در پویش‌های جاسوسی، کشورهای خاورمیانه را نیز مورد حمله قرار داده بود.

محققان امنیتی متوجه شدند در وب‌گاه‌هایی که در آنها کد و اسکریپت منتشر می‌شود، تعداد اسکریپت‌های مخرب ویژوال بیسیک افزایش یافته است. آن‌ها در ادامه متوجه شدند که این کدها مروبط به کِرم هودینی بوده است. علاوه بر این، به‌ نظر می‌رسد این کدها و انتشار آن‌ها توسط یک نفر انجام می‌شود که با استفاده از کارگزارهای دستور و کنترل، آن‌ها را نیز به‌روزرسانی می‌کند.

در این رابطه ۲۱۳ پست در وب‌گاه‌های مختلف مشاهده شده که حاوی ۱۰۵ زیردامنه‌ی منحصربفرد، ۱ دامنه و ۱۹۰ مورد مقدار درهم‌سازی بوده‌اند. محققان می‌گویند در بسیاری از این پست‌ها مطابقت کامل با کد بدافزار وجود دارد و در برخی دیگر نیز دامنه‌ها یکسان است ولی اسکریپت ویژوال بیسیک آن‌ها تغییر یافته است.

محققان امنیتی گفتند: «با اجرای یکی از این اسکریپت‌های ویژوال بیسیک در محیط کنترلی، متوجه شدیم که بدافزار با کارگزار دستور و کنترلی که آدرس آن نیز در اسکریپت وجود دارد ارتباط برقرار می‌کند. در ادامه نیز خود را در یک دایرکتوری مشخص رونویسی کرده و با ایجاد کلیدهای رجیستری در برخی پوشه‌ها و مکان‌های آغازین، سازوکار ماندگاری خود را اجرا می‌کند.»

بررسی‌های بیشتر بر روی دامنه‌ها و زیردامنه‌های کشف‌شده نشان داد که همگی آن‌ها متعلق به یک ارائه‌دهنده‌ی سرویس DNS پویا هستند. برخی از این زیردامنه‌ها مربوط به اسم «محمد راد» هستند. با جستجوی این اسم در گوگل به یک حساب فیس‌بوک می‌رسیم که مالک آن ادعا می‌کند که از اعضای گروه ناشناس‌ها در آلمان است.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.