کمیته رکن چهارم – به گفتهی شرکت تشخیص تهدید Cybereason، یک بدافزار سرقتکنندهی گواهینامه که به تازگی کشف شده است، به عنوان یک ضدبدافزار کسپرسکی ظاهر میشود و از طریق درایوهای یواسبی آلوده توزیع میشود.
به گزارش کمیته رکن چهارم،این بدافزار که Fauxpersky نام دارد، یک کیلاگر است که در AutoIT یا AutoHotKey ،که ابزارهای سادهای برای نوشتن برنامههای کوچک برای وظایف خودکار مختلف در ویندوز هستند، نوشته شده است. ابزار AHK میتواند برای نوشتن کدی برای ارسال کلیکها به سایر برنامهها، و برای ایجاد یک پروندهی exe کامپایلشده استفاده شود.
پژوهشگران امنیتی در سامانههایی که با بدافزار Fauxpersky آلوده شدهاند، چهار پروندهی نصبشده پیدا کردند که مانند پروندههای سامانهی ویندوز نامگذاری شدهاند: Explorers.exe، Spoolsvc.exe، Svhost.exe، و Taskhosts.exe.
این بدافزار پس از اجرا، فهرستی از درایوهای موجود در دستگاه را جمعآوری کرده و شروع به کپی کردن خود در آنها میکند، این کار به این بدافزار اجازه میدهد تا تمام دستگاههای متصلشدهی خارجی را آلوده کند.
علاوهبر این، این کیلاگر نام دستگاههای خارجی را تغییر میدهد تا با الگوی نامگذاری آن سازگار باشند. به طور خاص، نام جدید درایو شامل نام اصلی آن، اندازهی آن، و رشته « Secured by Kaspersky Internet Security ۲۰۱۷» است. این بدافزار همچنین یک پروندهی autorun.inf را برای اشاره به یک اسکریپت دستهای ایجاد میکند.
پروندهی Explorers.exe شامل یک تابع به نام ()CheckRPath است تا بررسی کند که آیا درایوهای متصلشده پروندههای فوقالذکر را دارند یا خیر، و در صورتی که این پروندهها در درایوها وجود نداشته باشند، این پروندهها را ایجاد میکند. این بدافزار ویژگیهای سامانه و مخفی شدن (System and Hidden) را به این پروندهها اضافه میکند و همچنین لغتنامههای لازم را با پارامترهای فقط خواندنی، سامانه، و مخفی کردن ایجاد میکند.
مهاجمان از یک روش نسبتا ساده استفاده میکنند تا اطمینان حاصل کنند که هنگامیکه بدافزار در مقصد جدید کپی میشود، تمام پروندههای لازم در دایرکتوری منبع (که Kaspersky Internet Security ۲۰۱۷ نام دارد) حضور دارند. یک پروندهی متنی در دایرکتوری به کاربران یاد میدهد تا در صورت عدم اجرا، ضدبدافزار خود و هچنین سایر ابزارهای امنیتی را که با Kaspersky Internet Security ۲۰۱۷ ناسازگار هستند را غیرفعال کنند.
برای انجام فعالیتهای سرقت دادههای مربوط به کلیدهای فشردهشده، بدافزار Fauxpersky (مخصوصا پرونده svhost.exe) با استفاده از توابع ()WinGetActiveTitle و ()input ابزار AHK بر پنجرهای که در حال حاضر فعال است، نظارت میکند. اطلاعات مربوط به کلیکهای کاربر به پروندهی Log.txt که در مسیر % APPDATA%\Kaspersky Internet Security ۲۰۱۷ ذخیره شده است، اضافه میشود.
این بدافزار برای پایداری پوشهی کاری بدافزار را به %APPDATA% تغییر میدهد و پوشهی «Kaspersky Internet Security ۲۰۱۷» را ایجاد میکند. این بدافزار همچنین بررسی میکند که تمام پروندههای لازم در %APPDATA% ایجاد شده باشند و در صورتی که پروندهای موجود نباشد رونوشتی از آن را در این مسیر قرار میدهد.
Spoolsvc.exe مقادیر کلیدهای رجیستری را تغییر میدهد تا از مانع از نمایش پروندههای مخفی توسط سامانه شده و پروندههای سامانه را مخفی کند (این توضیح میدهد که چرا این بدافزار ویژگیهای پروندههای خود را به سامانه و مخفی تنظیم میکند). سپس، این بدافزار بررسی میکند که آیا explorers.exe در حال اجرا است یا خیر، و در صورتی که در حال اجرا نبود آن را راهاندازی میکند، در نتیجه از اجرای مداوم بدافزار اطمینان حاصل میکند.
این کیلاگر همچنین برای اطمینان از پایداری، میانبرهایی از خود در فهرست راهاندازی مِنو ایجاد میکند.
این بدافزار برای خارج کردن دادههای مربوط به کلیدهای فشردهشده، از یک فرم گوگل استفاده میکند، و این مسأله مهاجمان از داشتن یک کارگزار دستور و کنترل بینیاز میکند.
شرکت امنیتی Cybereason نتیجهگیری کرد: «این بدافزار به هیچوجه پیشرفته یا خیلی مخفی نیست. نویسندگان این بدافزار هیچ تلاشی برای تغییر حتی چیزهای بیاهمیت مانند نماد ابزار AHK که به پرونده پیوست شده است، انجام ندادهاند. با این حال، این بدافزار در آلوده کردن درایوهای یواِسبی و جمعآوری دادههای کیلاگر و خارجکردن دادهها از طریق فرمهای گوگل و قرار دادن آن در صندوق ورودی مهاجمان بسیار موثر عمل میکند.»
منبع:securityweek asis
