حمله به سیستم‌های ویندوزی توسط یک بدافزار

حمله به سیستم‌های ویندوزی توسط یک بدافزار
تاریخ انتشار : ۳۰ دی ۱۴۰۲

طبق اعلام کارشناسان امنیت سایبری AgentTesla یک بدافزار ویندوزی نوشته شده به زبان دات‌نت است که جهت سرقت اطلاعات حساس از سیستم‌های قربانیان طراحی شده است.

به گزارش گرداب، واژه ویروس‌های رایانه‌ای اغلب به جای بدافزار استفاده می‌شود، هرچند در واقع این دو واژه به یک معنی نیستند و در دقیق‌ترین معنی، ویروس برنامه‌ای است که خود را مدام تکثیر کرده و رایانه را با گسترش خود از یک فایل به فایل دیگر آلوده می‌کند، سپس وقتی فایل‌ها از یک رایانه به دیگری کپی شده و بین دو یا چند رایانه به اشتراک گذاشته می‌شوند، از کامپیوتر آلوده به دیگران منتقل می‌شود و این روند همچنان ادامه پیدا می‌کند.

باج‌افزار‌ها دارای برخی ویژگی‌های کلیدی هستند که آن را از دیگر نرم‌افزار‌های مخرب مجزا می‌کند که رمزگذاری غیرقابل شکست از جمله ویژگی‌های آن است؛ به این معنی که نمی‌توان فایل‌ها را خودتان رمزگشایی کنید، اما باج‌افزار می‌تواند انواع فایل‌ها، از اسناد تا تصاویر، فایل‌های صوتی و سایر مواردی که ممکن است روی رایانه باشد، رمزگذاری کند.

اما رعایت برخی نکات مانند بررسی و صحت‌سنجی مداوم نسخه‌های پشتیبان آفلاین، جداسازی (Segmentation) شبکه به زیرشبکه‌های کوچک و با دسترسی محدود و کنترل‌شده، اعمال سیاست‌های سخت‌گیرانه در دسترسی‌های لبه‌ی شبکه به ویژه مسدودسازی دسترسی‌های مدیریتی راه دور نظیر RDP/SSH/Telnet و کنسول‌های مدیریتی تحت وب تجهیزات مختلف و مسدودسازی پیوست‌های خطرناک در سرویس‌دهنده‌های ایمیل سازمان از جمله اقدامات پیشگیرانه و محدودکننده اثر بدافزار‌ها است؛ بنابراین در این زمینه اخیرا مرکز مدیریت امداد و هماهنگی عملیات رخداد‌های رایانه‌ای (ماهر) از حمله یک بدافزار به سیستم‌های ویندوزی خبرداده است. درباره این بدافزار اینگونه توضیح داده شده AgentTesla یک بدافزار ویندوزی نوشته شده به زبان دات‌نت است که جهت سرقت اطلاعات حساس از سیستم‌های قربانیان طراحی شده است. این بدافزار به دلیل دسترسی آسان و هزینه نسبتاً پایین، به عنوان یک commodity malware شناخته می‌شود.

بدافزار گفته شده به مهاجمان با دانش فنی محدود این امکان را می‌دهد که انواع حملات سایبری مختلف را انجام دهند. AgentTesla از طریق ایمیل‌های آلوده، فایل‌های دانلود شده از منابع ناامن یا وب‌سایت‌های مخرب منتشر می‌شود و پس از نصب در سیستم قربانی، به طور مخفیانه اجرا شده و شروع به جمع‌آوری اطلاعات می‌کند. نام کاربری و رمز عبور حساب‌های بانکی و مالی، شماره کارت‌های اعتباری و حساب‌های بانکی، اطلاعات شخصی مانند نام، آدرس، شماره تلفن و ایمیل و محتوای چت‌ها و پیام‌های خصوصی از جمله اطلاعاتی است که این بدافزار می‌تواند جمع آوری کند از جمله اطلاعاتی است که AgentTesla می‌تواند جمع آوری کند.

محصولات تحت تأثیر

بررسی‌ها حاکی از آن است بدافزار AgentTesla سیستم‌های ویندوز را هدف قرار می‌دهد. این بدافزار به ویژه برای سرقت اطلاعات از سیستم‌های شرکتی طراحی شده است، اما می‌تواند سیستم‌های شخصی را نیز مورد حمله قرار دهد؛ بنابراین با توجه به موارد گفته شده توصیه می‌شود کاربران از نرم‌افزار‌های امنیتی معتبر استفاده کنند؛ ایمیل‌های ناشناس یا مشکوک را باز نکنند؛ فایل‌ها را تنها از منابع معتبر دانلود کنند و سیستم‌عامل و نرم‌افزار‌های خود را به‌روز نگه دارند.

گفتنی است طی ماه‌های گذشته اعلام شد که بات‌نتی به نام Socks ۵ Systemz ده‌ها هزار سیستم را آلوده کرده است؛ این بدافزار پس از آلوده کرده سیستم به صورت پنهانی از آن به عنوان proxy استفاده کرده و فعالیت‌های غیرقانونی و مخربی انجام می‌دهد.

این بدافزار رایانه‌ها را آلوده و آن‌ها را به پراکسی‌های انتقال ترافیک جهت ایجاد ترافیک مخرب، غیرقانونی یا ناشناس تبدیل می‌کند. این سرویس را به مشترکینی می‌فروشد که برای دسترسی به آن بین ۱ تا ۱۴۰ دلار در روز به صورت رمزنگاری پرداخت می‌کنند. در گزارش منتشر شده توسط BitSight، بات‌نت Socks ۵ Systemz دست کم از سال ۲۰۱۶ فعالیت داشته است.