کی‌لاگر iSpy، گذرواژه‌ها، اسکایپ و وب‌کم‌ها را نشانه گرفته است!

۱۸۷۵محققان در حال بررسی نرخ فروش و آلودگی کی‌لاگر جدید هستند که در وب‌تاریک به قیمت ۲۵ تا ۳۵ دلار به فروش می‌رسد.

در طول ضبط کلیدهای فشرده‌شده، کی‌لاگر iSpay گذرواژه‌های ذخیره‌شده بر روی مرورگر، رکوردهای چت و گفتگو در اسکایپ، اسکرین‌شاتی از وب‌کم و کلید مجوز برنامه‌هایی همچون ادوبی فتوشاپ و مایکروسافت آفیس را به سرقت می‌برد.

براساس گفته‌ی Zscaler این بدافزار از طریق پرونده‌های مخرب جاوا اسکریپت و یا اسناد ضمیمه‌شده در پویش‌های هرزنامه‌ای توزیع می‎شود. از دلایل منحصربفرد بودن این کی‌لاگر این است که از نسخه‌ی امضا شده و همراه با گواهی دیجیتال استفاده کرده و در ظاهر در برابر اسکن برنامه‌های امنیتی همچون برنامه‌ی قانونی و مشروع جلوه می‌کند.

این کی‌لاگر دارای یک بارگیری‌کننده است که بار داده‌ رمزنگاری شده را با استفاده از Net.، ویژوال بیسیک نسخه ۶ و AutoIT فشرده می‌کند. محتوای این بار داده از ۶ مؤلفه تشکیل شده است که عبارتند از: مانتیورینگ حافظه‌ی کلیپ‌بورد، ثبت رویدادهای وب‌کم، ثبت کلیدها، ثبت رویدادهای RuneScape PIN، ضبط اسکرین و سارق گذرواژه‌ها.

Zscaler می‌گوید در طول ۲۴ ساعت گذشته با به‌روزرسانی‌های مختلفی از کی‌لاگر iSpy مواجه شده است که ویژگی‌های جدیدی همچون ثبت‌کننده‌ی چت و گفتگوهای اسکایپ نمونه‌ای از آن است.

این کی‌لاگر از چند روش مبهم‌سازی در سامانه‌ی آلوده‌شده استفاده می‌کند. به‌عنوان مثال پرچم Zone.Identifier را در بخش ADS۱ برای غیرفعال کردن هشدار امنیتی هنگام اجرای بدافزار، حذف می‌کند.

علاوه بر غیرفعال کردن هشدارهای امنیتی، کی‌لاگر iSpy دارای ویژگی دیگری همچون غیرفعال کردن برنامه‌های ضد ویروس است. این بدافزار این عمل را با ساخت یک زیر کلید با نام برنامه، تحت کلید رجیستری Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ و سپس قرار دادن rundll۳۲.exe به‌عنوان مقدار Debugger تحت این کلید، انجام می‌دهد.

داده‌های محلی جمع‌آوری‌شده توسط iSpy توسط پروتکل‌های SMTP، HTTP و یا FTP به کارگزارهای C&C ارسال می‌شود. قبل از ارسال داده‌ها iSpy از رمزنگاری ویژه‌ی خود استفاده می‌کند.

عملکرد واقعی کی‎لاگرها این است که مهر زمانی مربوط به فشرده شدن هر کلید را برای مهاجم ارسال کنند. این کی‌لاگر در وب‌تاریک در ۳ مدل اشتراک یک ماهه، ۳ ماهه و یک‌ساله به قیمت‌های ۲۵، ۳۵ و ۴۵ دلار فروخته می‌شود.

مدیر تحقیقات امنیتی در Zscaler می‌گوید: «به‌طور کلی شاهد افزایش در نرخ حملات انجام شده با استفاده از کی‌لاگرهای تجاری هستیم که این امکان را به یک مهاجم ناشی و نابلد با نیت خرابکارانه می‌دهد که حملات موفقیت‌آمیزی انجام دهد.»

۱. Alternate Data Stream

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap