خلاقیتی دیگر از نویسندگان بدافزار: میزبانی بار داده‌ی بدافزار بر روی PasteBin

۱۲نویسندگان بدافزار لحظه‌ای آرام و قرار ندارند و هر لحظه باید منتظر باشیم و ببینیم که چه شیوه‌ی جدیدی را برای توزیع بدافزار خود استفاده می‌کنند.

محققان امنیتی Malwarebytes با پویش بدافزاری جدیدی مواجه شدند که از شیوه‌ی جالب و غیرمعمولی استفاده می‌کند. این محققان پرونده‌ای با نام VMWare.exe را کشف کردند که در ظاهر نسخه‌ای سرقتی یا شکسته‌شده از برنامه‌ی معروف مجازی‌سازی VMware است.

پیتر آرنز محقق امنیتی از Malwarebytes می‌گوید در طول نصب، این برنامه‌ی مشکوک به پورتال اشتراک‌گذاریِ متن PasteBin متصل شده و به یک صفحه دسترسی یافته و مقدار واردشده در آن را بارگیری می‌کند.
این محتوای موجود در صفحه‌ی PasteBin که بارگیری می‌شود یک اسکریپت ویژوال بیسیک است که نصب‌کننده باید آن را بر روی رایانه‌ی قربانی اجرا کند. این اسکریپت نیز به یک کارگزار برخط متصل شده و یک پرونده‌ی اجرایی با نام Tempwinlogon.exe را بارگیری و اجرا می‌کند.

به گفته‌ی این محقق این پرونده به احتمال زیاد تروجان دسترسی راه دورBladabindi که با نام‌های دیگری همچون Derusbi و njRAT شناخته می‌شود را نصب می‌کند. این RAT در هنگام اجرای پرونده‌ای با نام Tr.exe، کلیدهای فشرده‌شده توسط کاربر را با مؤلفه‌ی کی‌لاگر ثبت می‌کند.
آرتز می‌گوید اگر کاربری متوجه آلودگی رایانه‌ی خود به این RAT شود و بخواهد از طریق بخش مدیریت وظایف۱، به فرآیند مربوط به این بدافزار خاتمه دهد، رایانه فوراً درهم شکسته شده و صفحه‌ی آبی مرگ (BSOD۲) به کاربر نمایش داده خواهد شد.

این رفتار مشابه رفتار بدافزار مبتنی بر جاوا اسکریپتی است که توسط بخش امنیتی Kahu کشف شد. زمانی‌که کاربر تلاش می‌کند به فرآیند مربوط به این بدافزار خاتمه دهد، این بدافزار رایانه را خاموش کرده و به لطف سازوکار ماندگاری بوت که در مرحله‌ی قبلی در این بدافزار تعبیه شده، خود را مجدد راه‌اندازی می‌کند.
آرتز به کاربران هشدار داده و گفته: «اگر به این RAT آلوده شدید، هرچه سریع‌تر گذرواژه‌های خود را تغییر دهید بخاطر اینکه ممکن است گذرواژه‌هایتان توسط این تهدید در معرض خطر قرار گرفته باشند.»

۱. Task Manager
۲. Blue Screen of Death

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter