سوءاستفاده از کارگزارهای بازی در جهت انتشار RAT‌ ها

۹متخصصان امنیتی می‌گویند خدمات گفتگوی رایگان VoIP بانام Discord که در میان بازی‌کنندگان بسیار محبوب است حالا به هدفی برای پویش‌های توزیع هرزنامه تبدیل شده‌ است. مهاجمان با استفاده از این خدمات اقدام به انتشار تروجان‌های دسترسی از راه دور (RAT) همچون (NanoCore(Trojan.Nancrat) ،njRAT(Backdoor.Ratenjay و (SpyRat(w۳۲.Spyrat می‌کنند. متخصصان امنیتی Symantec‌ می‌گویند چندین پویش فعال هرزنامه را بر روی خدمات مذکور کشف کرده و به Discord اطلاع داده‌اند تا پیام‌ها را حذف کند.

شاید برای بازی‌کنندگان دور از ذهن نبود که تولیدکنندگان هرزنامه، Discord را هدف بگیرند، چراکه خدمات مذکور با کیفیت بالایی امکان ارتباط بازی‌کنندگان را فراهم کرده و اخیراً بسیار محبوب شده است. هدف‌گیری انجمن‌های بازی نیز از سوی نویسندگان بدافزار اتفاق جدیدی نیست. طبق گزارش اخیر منتشر شده از سوی Trend Micro، مجرمان سایبری در اغلب اوقات RAT‌ ها را با این هدف پخش می‌کنند تا به حساب‌های کاربری مرتبط با بازی دست بیابند، بدین‌ترتیب می‌توانند حساب مالی درون بازی را دستکاری کرده و مبالغی را در وب تاریک به فروش برسانند.

Symantec می‌گوید تولیدکنندگان هرزنامه از دو رویکرد استفاده می‌کنند. آن‌ها یا کارگزارهای Discord‌ ایجاد می‌کنند و کاربران را به کانال‌هایشان دعوت می‌کنند، یا به کانال‌ها پیوسته و پیوند‌های مخرب خود را در پنجره اصلی گفتگو نمایش می‌دهند. اغلب اوقات این URL‌ ها به برنامه‌های مخربی مربوط می‌شوند که در قالب RAT‌ ها بسته‌بندی شده‌اند. رایج‌ترین بار داده NanoCore است. NanoCore‌ پس از این‌که نسخه شکسته‌شده‌ی آن در بهار ۲۰۱۵ به‌صورت برخط پخش شد به یکی از محبوب‌ترین بار داده‌های RAT تبدیل شده است.

در حقیقت NanoCore نه فقط در اتاق‌های گفتگو Discord بلکه به‌طورکلی یک RAT‌ بسیار محبوب است. محقق امنیتی MalwareHunterTeam می‌گوید می‌توان پویش‌های این RAT را در هر زمان در مکان‌های مختلف رؤیت کرد.
محقق امنیتی براد دونکان، روز پنج‌شنبه گزارشی را درباره یک پویش رایانامه‌ای جدید منتشر کرد که با توزیع NanoCore تجارت‌های مختلف را هدف قرار می‌‌دهد. این پویش بار داده‌ی بدافزار را به‌عنوان یک سفارش خرید ظاهرسازی مخفی می‌کند.

متخصصان امنیتی بر این باورند که تروجان NanoCore یک ابزار قابل‌دسترس برای همه مجرمان سایبری است، از افراد کنجکاو پخش‌کننده هرزنامه در گفتگوهای Discord گرفته تا مجرمان حرفه‌ای که از بات‌نت‌های هرزنامه استفاده می‌کنند.
در زیر به برخی از نمونه‌های NanoCore Rat اشاره شده است که محقق امنیتی MalwareHunterTeam می‌گوید طی چند روز گذشته با آن‌ها مواجه شده است:
۲۰ اکتبر ۲۰۱۶:

https://t.co/tvGWIhsBMp
Campaign: “۹/۱۰”
C۲:ra۳d.noip[.]me@Techhelplistcom @JAMESWT_MHT @Antelox

۲۰ اکتبر ۲۰۱۶:

نمونه‌ای از NanoCore‌ که خود را به‌جای فرآیند Explorer جا می‌زند
servicepoint.duckdns[.]org@Techhelplistcom pic.twitter.com/۹GjUnrc۵W۶

۱۹ اکتبر ۲۰۱۶:

https://t.co/YalVuvg۲HX
C۲: ۱۵۴.۱۶.۶۳[.]۳۵:۴۴۴۴
Group: “AAA-۱۷-۱۰”@Techhelplistcom @JAMESWT_MHT @Antelox

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter