انتشار نسخه جدید تروجان Adwind و دور زدن نرم‌افزارهای ضدویروس

انتشار نسخه جدید تروجان Adwind و دور زدن نرم‌افزارهای ضدویروس
تاریخ انتشار : ۰۴ مهر ۱۳۹۷

یک عملیات اسپمی در حال انتشار یک تروجان با دسترسی از راه دور (RAT) است که از چندین روش برای فریب دادن ضدویروس‌های مبتنی بر امضا استفاده می‌کند.

به گزارش گرداب، این RAT که با نام Adwind شناخته می‌شود، پیش‌تر صنایع مختلفی را در جهان مورد هدف قرار داده است. این تروجان اکنون مجهز به toolkit جدیدی است تا بتواند از سیستم‌ها سوءاستفاده کند.

تروجان توسط Cisco Talos و ReversingLabs مورد بررسی قرار گرفته است. این تروجان هم‌چنین با نام‌های AlienSpy، JSocket و jRat نیز شناخته می‌شود و دارای قابلیت‌های زیادی است. تروجان قادر به جمع‌آوری اطلاعات رایانه و کلیدهای فشرده شده توسط کاربر است، همچنین اطلاعات احراز هویت و اطلاعات ارسال شده از طریق فرم‌های وب را نیز به سرقت می‌برد.

بدافزار قادر به ضبط ویدئو، صدا و گرفتن تصاویر اسکرین‌شات نیز است. علاوه بر این، تروجان می‌تواند فایل‌های سیستم را بدون اطلاع کاربر منتقل کند. در نسخه‌های جدیدتر این تروجان، تلاش برای سرقت کلیدهای رمزنگاری برای دسترسی به کیف پول مجازی در سیستم‌های آلوده نیز انجام می‌شود.
تروجان ابتدا از طریق عملیات فیشینگ منتقل می‌شود و سپس بدنه مخرب که بصورت فایل JAR است را بارگیری می‌کند و پس از اجرا به سرور کنترل و فرمان (C&C) متصل می‌شود و بدنه‌های بیش‌تر را بارگیری می‌کند تا داده‌های سیستم آلوده را به سرقت ببرد.

این بدافزار در گذشته با حداقل ۴۰۰ هزار حمله علیه کسب‌وکارها در امور مالی، تولید، حمل و نقل و صنعت مخابرات مرتبط بوده است. در حملات اسپمی جدید که در ماه آگوست مشاهده شده است، از Adwind ۳,۰ که آخرین نسخه آن است استفاده شد. در این حملات سیستم‌های ویندوز، لینوکس و مک مورد هدف قرار گرفتند.

هم‌چنین در حملات از روش تزریق کد DDE برای نفوذ به اکسل و دور زدن برنامه‌های ضد ویروس مبتنی بر امضا بهره‌برداری شده است. در عملیات فیشینگ پیام‌های مخرب حاوی فایل‌های CSV و XLT (هر دو به صورت پیش‌فرض با نرم‌افزار اکسل باز می‌شوند) ارسال می‌شوند. فایل‌های مخرب دارای یک یا دو dropper هستند که از تزریق DDE بهره می‌برند. dropper از پسوندهای مختلفی از جمله htm، xlt، xlc و db استفاده می‌کند.
پژوهشگران Cisco Talos می‌گویند که تکنیک جدیدی برای مبهم‌سازی در حملات استفاده شده است که از طریق آن بخش اول فایل بدون سرایند است و برنامه‌های ضدویروس را به اشتباه می‌اندازد. در واقع ضد ویروس به جای تشخیص فایل مخرب به عنوان یک dropper، آن‌ را به عنوان یک فایل خراب تشخیص می‌دهد.

کد مخرب یک اسکریپت Visual Basic را ایجاد می‌کند که از bitasdmin بهره می‌برد. ابزار bitasdmin نرم‌افزار قانونی مایکروسافت است که یک ابزار مبتنی بر خط فرمان (command-line) برای ایجاد، بارگیری یا بارگذاری فعالیت‌ها و نظارت بر فرایند پردازشی آن‌هاست. در کد مخرب از این ابزار برای بارگیری بدنه نهایی که یک فایل Java دارای بسته Allatori Obfuscator است، سوء استفاده شده است. این بسته در ادامه از حالت فشرده خارج می‌شود و تروجان Adwind را پیاده‌سازی می‌کند.

منبع: خبرگزاری ایسنا
گزارش خطا
ارسال نظر
نظر شما :
غیر قابل انتشار: ۰
در انتظار بررسی: ۰
انتشار یافته: ۰
captcha
جرائم اینترنتی ۰۳ بهمن

سرقت اطلاعات بانکی توسط دو برنامه اندروید در Google Play

دو برنامه اندروید که آلوده به بدافزارهای بانکی شده بودند، در فروشگاه Google Play یافت شدند. این دو برنامه روی هزاران دستگاه اندرویدی نصب شده‌اند و تعداد زیادی امتیاز پنج ستاره جعلی دریافت کرده‌اند.
جرائم اینترنتی ۲۴ دی

سیستم های ویندوزی بانک ها هدف تروجان ServHelper

گروه هکری TA505 اقدام به انتشار نوعی جدیدی از بدافزار در فضای مجازی کرده که با ایجاد کمپین های سرقت اطلاعات علیه بانک ها ،دسترسی از راه دور به سیستم های مورد استفاده توسط آن ها را فراهم می کند.
جرائم اینترنتی ۱۹ دی

دوباره‌‌‌نویسی فایل‌ها با استفاده ازآسیب پذیری روز صفر در ویندوز

آسیب‌پذیری روز صفر روی سیستم‌عامل ویندوز گزارش شده که توانایی دوباره‌نویسی فایل‌ها بدون مجوز دسترسی به نفوذگر را می‌دهد.
جرائم اینترنتی ۲۴ مهر

مراقب گوگل پلی تقلبی باشید

محققان اپلیکیشن گوگل پلی تقلبی را یافته اند که ادعا می کند یکی از سرویس های گوگل است اما دستگاه های کاربران را آلوده می کند.