حمله بدافزار Farseer به سیستم‌های ویندوزی

حمله بدافزار Farseer به سیستم‌های ویندوزی
تاریخ انتشار : ۱۵ اسفند ۱۳۹۷

نوعی بدافزار جدید توسعه داده شده ‌است که ابزار مورد نیاز برای حمله به سیستم‌های ‌عامل‌ ویندوز در کنار اهداف اندرویدی را برای مهاجمین فراهم می‌کند. این بدافزار که به نام Farseer شناخته می‌شود، با HenBox، بدافزار جاسوسی سایبری که در سال ۲۰۱۸ در حملات علیه سیستم‌عامل اندروید گوگل شناسایی شد، مرتبط است. HenBox در برنامه‌های مخرب اندروید از جمله سرویس‌های شبکه اختصاصی مجازی (VPN) و برنامه‌های سیستمی پنهان می‌شود.

نوعی بدافزار جدید توسعه داده شده ‌است که ابزار مورد نیاز برای حمله به سیستم‌های ‌عامل‌ ویندوز در کنار اهداف اندرویدی را برای مهاجمین فراهم می‌کند. این بدافزار که به نام Farseer شناخته می‌شود، با HenBox، بدافزار جاسوسی سایبری که در سال ۲۰۱۸ در حملات علیه سیستم‌عامل اندروید گوگل شناسایی شد، مرتبط است. HenBox در برنامه‌های مخرب اندروید از جمله سرویس‌های شبکه اختصاصی مجازی (VPN) و برنامه‌های سیستمی پنهان می‌شود.

به گزارش گرداب، بدافزار HenBox در ابتدا گروه Uyghur را هدف قرارداده تا اطلاعاتی را از جمله اطلاعات شخصی و دستگا‌ه‌ها را سرقت‌ کند. این بدافزار قابلیت نفود به دوربین‌ها و میکروفون‌های گوشی‌های هوشمند را نیز دارد. این بدافزار در حملات سیاسی و هدفمند استفاده شده ‌است و گروه مهاجم پشت‌پرده HenBox از بدافزارهای سال ۲۰۱۵ نظیر PlugX، Zupdax، ۹۰۰۲  و Poison Ivy استفاده می‌کنند.

این بدافزار عموما متمرکز بر گوشی‌های هوشمند بوده و هکرها افق فعالیت خود را با ایجاد Farseer گسترش داده‌اند. این بدافزار از طریق کمپین‌های فیشینگ و فایل‌های مخرب  pdfکه با تاکتیک‌های مهندسی اجتماعی از طریق کپی و چسباندن تعدادی مقالات خبری منتشر شده توزیع می‌شود.

Farseer  با استفاده ازDLL های شناخته‌شده و مجاز، از برنامه‌های قابل‌اعتماد فروشندگان از جمله مایکروسافت استفاده می‌کند و از این رو توسط ضدویروس‌های قدیمی‌تر شناسایی نمی‌شود. payloadهای مخرب برای جلوگیری از شناسایی در داخل ورودی‌ها قرار داده‌شده و بسته‌بندی و رمزگذاری نیز می‌شوند.

سپس کد مبهم‌سازی شده برای ایجاد یک درپشتی و ارتباط با سرورهای فرمان و کنترل (C۲) و دریافت دستورات اضافی، که ممکن است شامل سرقت اطلاعات باشد، بارگذاری می‌شود.

روش مبهم‌سازی که در این مورد و بسیاری موارد دیگر از آن استفاده می‌شود، همان رمزگذاری ASCII است که کاراکترها با مقدار ASCII خود جایگزین می‌شوند. دیگر انواع بدافزارها از الگوریتم‌های رمزنگاری قوی‌تر و سفارشی برای مخفی‌کردن اطلاعات پیکربندی استفاده می‌کنند.

در مجموع، ۳۰ نمونه منحصر به فرد از این بدافزار در طول دو سال و نیم گذشته مشاهده شده‌ است. پژوهشگران می‌گویند که روند مشاهده‌ی نمونه‌های Farseer آهسته و پیوسته بوده‌ است که می‌تواند با شبکه‌ی زیرساخت‌های میزبان دیگر بدافزارهای مورد استفاده گروه، ردگیری شود. 

هفت دامنه شناخته‌شده از این بدافزار میزبانی می‌کنند که چهار مورد از آن‌ها مرتبط با Poison Ivy، Zupdax  و PKPLUG بوده و همه آن‌ها حداقل یک دامنه سطح سوم را به اشتراک گذاشته‌اند. پژوهشگران معتقدند این منبع مشترک می‌تواند نشانگر الگویی برای نصب زیرساخت‌ها یا بر اساس نیازمندی‌های ارتباطی بدافزار با سرور  C۲باشد.

HenBox تهدیدی برای دستگاه‌های مبتنی بر اندروید و Farseer برای هدف قراردادن ویندوز، طراحی شده‌است. همپوشانی زیرساخت‌ها،TTP های مشترک و شباهت‌ها در کد و پیکربندی، نشانه‌‌ی تهدید‌هایی است که قربانیان را هدف قرار می‌دهد.



منبع: افتا