آخرین اخبار
صفحه اصلی
اخبار

MegaCortex؛ باج‌افزاری متفاوت

تاریخ:
در: اخبار, اسلاید, امنیت سایبری
دیدگاهتان را بنویسید:
891 نمایش ها

کمیته رکن چهارم – نسخه جدیدی از باج‌افزار MegaCortex در حال انتشار است که تنها به رمزگذاری فایل‌های کاربر بسنده نکرده و با تغییر رمز عبور، امکان ورود به سیستم را نیز از او سلب می‌کند.

 MegaCortex باج‌افزاری است که در جریان حملاتی هدفمند از طریق درب‌پشتی (Backdoor) ایجاد شده، توسط بدافزارهایی همچون Emotet به دستگاه راه می‌یابد. MegaCortex پس از آلوده کردن نخستین دستگاه در شبکه سازمان، خود را از طریق بسته‌های بهره‌جو (Exploit Kit) یا با بهره‌گیری از بستر Active Directory بر روی سایر سیستم‌های درون شبکه توزیع می‌کند.

علاوه بر اجراکننده (Launcher) باج‌افزار، دو فایل DLL و چند اسکریپت CMD در اقدامات مخرب انجام شده توسط MegaCortex دخیل هستند. فایل اجراکننده با یک گواهینامه صادر شده برای شرکتی استرالیایی با نام MURSA PTY LTD امضاء شده است. از جمله وظایف اسکریپت‌های CMD مذکور نیز که نمونه‌ای از آن در تصویر زیر قابل مشاهده است حذف فایل‌های موسوم به Shadow Volume Copy و فایل‌های استفاده شده در جریان آلوده‌سازی است. فایل‌های DLL هم نه با تزریق شدن در پروسه‌های دیگر که از طریق پروسه معتبر Rundll32.exe اجرا می‌شوند.

جدیدترین نسخه MegaCortex اما از جهاتی متفاوت از نسخ پیشین این باج‌افزار است. شاید بارزترین ویژگی در نسخه جدید نمایش پیامی مشابه تصویر پیش از ثبت ورود (Login) کاربر به سیستم عامل باشد.

با کالبدشکافی مشخص می‌شود که نسخه جدید MegaCortex اقدام به تغییر رمز عبور کاربری می‌کند که آلوده‌سازی با حق دسترسی او انجام شده است. احتمالاً به دلیل همین ویژگی منحصربه‌فرد مهاجمان تلاش دارند تا اطلاع‌رسانی به کاربر را در قبل از ثبت ورود او به سیستم انجام دهند.

همچنین در فایلی با نام !-!_README_!-!.rtf که توسط باج‌افزار بر روی Desktop ایجاد می‌شود (شکل زیر) علاوه بر تغییر رمز عبور، ادعا شده که نسخه‌ای از اطلاعات کاربر در محلی به گفته این مهاجمان امن کپی شده و اگر کارها مطابق میل آنها پیش نرود آن اطلاعات به‌صورت عمومی افشا خواهند شد. ادعایی که به نظر می‌رسد صرفاً بلفی برای وادار کردن قربانی به پرداخت باج باشد.

نسخه جدید MegaCortex که به فایل‌های رمزگذاری شده پسوند m3g4c0rtx الصاق می‌کند با نام‌های زیر قابل شناسایی است:

Bitdefender:

Trojan.GenericKD.32683279

Trojan.GenericKD.32684232

Trojan.GenericKD.32684234

McAfee:

Artemis!174B579B9577

Artemis!3C38CFCE2026

Artemis!68E0D3F36228

منبع : شبکه گستر

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.