فلش شما می‌تواند منتقل‌کننده بدافزاری جدید باشد

کمیته رکن چهارم – تحقیقات نشان داده است که نوعی بدافزار جدید با فلش‌مموری‌های USB منتقل می‌شود و باید از فلش‌ها محافظت کرد.

کارشناسان هشدار داده‌اند یک نوع بدافزار جدید که از درایوهای USB سوءاستفاده می‌کند، به سرعت در حال گسترش در سراسر جهان است.

شرکت امنیت سایبری Check Point گزارشی را منتشر کرد که نشان می‌دهد چگونه یک گروه تحت حمایت دولت چین به نام Camaro Dragon (که همچنین با نام‌های Mustang Panda و LuminousMoth شناخته می‌شود) در حال انتشار بدافزار از طریق درایورهای USB آلوده است.

WispRider نام نوع اصلی مورد استفاده این بدافزار است که چندین بار تکرار شده است. این نرم‌افزار مخرب از لانچر HopperTrick برای انتشار از طریق USB استفاده می‌کند و همچنین می‌تواند به‌راحتی SmadAV، یک حل آنتی‌ویروس محبوب در جنوب شرقی آسیا را دور بزند.

منطقه جنوب شرقی آسیا جایی است که بدافزار شروع به کار کرد، اما سپس از طریق درایوهای USB در سایر مناطق جهان منتشر شد. در اوایل سال ۲۰۲۳، تیم واکنش به رویدادCheck Point متوجه شد که این بدافزار به یک مؤسسه مراقبت‌های بهداشتی اروپایی رسیده است.

WispRider همچنین با استفاده از اجزای نرم‌افزار امنیتی مانند G-DATA Total Security و قطعات متعلق به Electronic Arts و Riot Games، دو غول دنیای بازی، قادر به بارگذاری جانبی DLL است. Check Point به شرکت‌های فوق اطلاع داد که مهاجمان از نرم‌افزار مربوطه آن‌ها استفاده کرده‌اند.

این شرکت امنیتی می‌گوید: شیوع و ماهیت حملات با استفاده از بدافزارهای یو‌اس‌بی خود انتشاری، نیاز به محافظت در برابر آن‌ها را نشان می‌دهد، حتی برای سازمان‌هایی که ممکن است هدف مستقیم چنین کمپین‌هایی نباشند.

این سازمان ادعا می کند که گسترش بدافزار USB را در کشورهای دیگر در سراسر جهان از جمله میانمار، کره جنوبی، بریتانیا، هند و روسیه پیدا کرده است.

Check Point همچنین اشاره می‌کند که WispRider با ابزارهای دیگری که اخیرا توسط Camaro Dragon استفاده می‌شود، مانند یک در پشتی به نام TinyNote و یک سیستم‌افزار روتر به نام HorseShell همسو می‌شود. این شرکت ادعا کرده است که همه آن‌ها زیرساخت‌ها و اهداف عملیاتی مشترک دارند.

از زمانی که این پرونده در بیمارستان اروپایی مشاهده شد، بدافزار ارتقا یافته است. این بدافزار اکنون ساختار یکپارچه‌تری دارد که به موجب آن، آلوده‌کننده USB، ماژول فرار و در پشتی در یک محموله برخلاف مجموعه‌ای جداگانه از فایل‌های اجرایی قانونی و DLL‌های بارگذاری‌شده جانبی ترکیب می‌شوند.

کدگذاری اجزای بدافزار نیز اصلاح شده است و نسخه‌های جدیدتر همه مؤلفه‌ها اکنون به زبان C++ نوشته شده‌اند، در حالی که راه‌انداز USB در دلفی نوشته شده است.

منبع: افتانا