یک باج‌افزار چند منظوره حملات DDoS را تقویت می‌کند!

محققان شرکت اینوینسیا هشدار داده‌اند که مجرمان سایبری از نوعی نرم‌افزار استفاده می‌کنند که به نظر می‌رسد از دستگاه‌های آلوده برای اهدافی مخرب همچون انجام حملات منع سرویس توزیع‌شده (DDoS) استفاده می‌کند.
ایکنا دایک از شرکت اینوینسیا توضیح داده است که علاوه بر گروگان گرفتن داده‌های قربانی برای دریافت کردن باج، این نوع باج‌افزار، از سامانه قربانی به عنوان بخش بالقوه‌ای از حملات DDoS استفاده می‌کند.
محققان موفق شدند که این باج‌افزار را به یک خانواده‌ی سایبری گره بزنند و کشف کنند که این بدافزار تغییراتی را در محافظ صفحه نمایش Screensaver پدید می‌آورد که به او اجازه می‌دهد تا یک یادداشت باج‌افزار دائمی را روی صفحه نمایش قربانی نشان دهند. علاوه بر این، این باج‌افزار رفتار عجیب و غریبی در شبکه از خود نشان می‌دهد که آدرس IP آن مابین محدوده‌های ۸۵.۹۳.۰.۰ تا ۸۵.۹۳.۶۳.۲۵۵ قرار دارد.
عواملی که پشت این بدافزار هستند، از یک سند آلوده‌ی آفیس برای توزیع آن با یک روش حمله‌ی بدون پرونده استفاده می‌کنند. یک سند RTF در صندوق پستی قربانی قرار دارد و مهاجم تلاش می‌کند تا کاربر اجازه‌ی اجرای ماکروها را در نرم‌افزار مایکروسافت ورد برای دیدن محتوای آن بدهد. به محض اجرای آن، این ماکروها به یک سطح فرمان بالاتر در سامانه قربانی پرش می‌کنند و یک Vbscript رمزنگاری شده را اجرا می‌کنند.
به گفته پژوهشگر ایوینسیا، این کد بدافزار برای جلوگیری از تجزیه و تحلیل به صورت مبهم نوشته شده، ‌اما توابع و متغیرهای نوشته شده در آن، توسط رایانه تولید شده‌اند. تکه کدهایی از آن را هم می‌توان یافت که توسط انسان تولید شده‌اند، اما محققان عقیده دارند که متغیرها، اعداد صحیح و توضیحات در کدها در واقع طوری اضافه شده‌اند که تجزیه و تحلیل را مشکل کنند.
همچنین دایک کشف کرده است که برخی از این عملکردها در کدها به پرونده‎های متنی اشاره داد، ‌در حالی‎که در نهایت، این کدها به یک صورت یک پرونده vbs. صادر شده و سپس اجرا می‌شوند. بعد از اینکه این اسکریپت (که به نام ۳۲۶۳.vbs در این حمله نامگذاری شده است) ایجاد و اجرا شد، یک پرونده باینری آلوده‌ی دیگر به نام ۳۳۱۱.tmp ایجاد می‌کند که عقیده بر این است که یک باج‌افزار Cerber است.
علاوه بر انجام تغییرات در محافظ صفحه نمایش برای نشان دادن یادداشت باج‌افزار و فراخوانی زیرشبکه بسیار بزرگ ۲۵۵.۲۵۵.۱۹۲.۰، این باج‌افزار یک فایل tmp هگزادسیمال ایجاد می‌کند که متعاقباً یک روال explorer.exe را اجرا می‌کند. علاوه بر این، این روال، مجموعه‌هایی از پرونده‎های tmp ایجاد می‌کند و آن‎ها را روی دیسک می‌نویسد که ظاهراً این رشته حوادث به یک حلقه در VBScript مربوط می‌شوند.
به گفته‌ی این پژوهشگر، هنوز این احتمال وجود دارد که این نوع بدافزار مورد تجزیه و تحلیل قرار گرفته، به طور کامل فرایند انتقال بار داده‎ی مخرب خود را روی دستگاه قربانی تکمیل نکند. اگر این موضوع محتمل باشد، این کار به این معنا خواهد بود که علاوه بر فعالیت‌های مخرب مشاهده شده، ممکن است این بدافزار، فعالیت‌های مخرب دیگری را نیز برای اجرا روی دستگاه قربانی در نظر داشته باشد.
این محقق نتیجه‌گیری می‌کند: «به نظر می‌رسد که ترافیک مشاهده شده، زیرشبکه را با بسته‌های UDP روی درگاه ۶۸۹۲ بمباران می‌کند. با جعل آدرس مبدأ، میزبان می‌تواند همه‌ی ترافیک برگشت داده شده از زیرشبکه را به یک میزبان هدف تغییر مسیر دهد و موجب شود که میزبان قادر به پاسخگویی نباشد».
اوایل این هفته، مایکروسافت از بهبودهایی در بدافزار ماکرو خبر داد که اکنون مهارت‌هایی اضافی را به خود افزوده است و می‌تواند به شکل بهتری کدهای مخرب خود را پنهان کنند. بدافزار ماکرو که در دهه‌ی ۱۹۹۰ بسیار معمول بود، سال گذشته دوباره بازگشته است. اوایل این سال، Dridex و Locky دو خانواده از بدافزارهایی که از اسناد مخرب استفاده می‌کنند، شروع به مخفی کردن کدهای مخرب خود کرده‌اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.