کمیته رکن چهارم – بر اساس گزارشی که شرکت ملوربایتز آن را منتشر کرده، حداقل یکسوم بستههای بهرهجوی متداول بهسمت استفاده از تکنیک پیشرفته بدونفایل (Fileless) روی آوردهاند.
بستههای بهرهجو (Exploit Kit) ابزارهای مخربی هستند که هکرها و ویروسنویسان را قادر به اجرا کد مخرب خود بر روی دستگاه قربانی – معمولاً بهصورت از راه دور و بدون دخالت کاربر – با سوءاستفاده از ضعفهای امنیتی نرمافزارهای نصب شده میکنند.
بستههای بهرهجو از اصلیترین ابزارهای بکار گرفته شده توسط مهاجمان برای آلوده کردن سیستم کاربران به تهدیداتی همچون بدافزارهای بانکی، استخراجکنندگان ارز رمز (Coin Miner) و باجافزارها هستند.
در گزارش ملوربایتز عملکرد و تغییر رفتار بستههای بهرهجوی زیر در پاییز امسال مورد بررسی قرار گرفته است:
- Spelevo
- Fallout
- Magnitude
- RIG
- GrandSoft
- Underminer
- KaiXin
- PurpleFox
- Capesand
در این میان، Magnitude،وUnderminer و PurpleFox از جمله بستههای بهرهجویی هستند که در جریان حملات اخیر آنها بجای کپی بدافزار بر روی دیسک سخت، کد مخرب را در حافظه فراخوانی میکردهاند. هدف، ماندگار کردن کد مخرب بدافزار بدون ذخیره آن بهصورت فایل بر روی دیسک سخت است. با توجه به اینکه نرمافزارهای ضدویروس سنتی صرفاً اقدام به بررسی فایلها در زمان نوشته شدن بر روی دیسک سخت و خوانده شدن از روی آن میکنند این روش میتواند براحتی این سد دفاعی را در هم بشکند.
مهاجمان از Magnitude برای انتشار باجافزارها، از Underminer جهت آلودهسازی دستگاهها به یک بدافزار استخراجکننده ارز رمز با نام Hidden Bee و از PurpleFox بهمنظور اجرای اسب تروای Purple Fox بهره میگیرند.
همچنین برای مدتها CVE-2018-8174 در مرورگر Internet Explorer و CVE-2018-15982 و CVE-2018-15982 در نرمافزار Flash Player اصلیترین آسیبپذیریهایی بودهاند که مورد سوءاستفاده بستههای بهرهجوی متداول قرار میگرفتهاند. اما بر طبق گزارش ملوربایتز بهرهجویی از اشکالات Flash Player سیری نزولی به خود گرفته است. احتمالاً کاهش کاربران آن و نزدیکی پایان پشتیبانی ادوبی از این نرمافزار اصلیترین دلایل استقبال گردانندگان بستههای بهرهجو از چنین رویکرد است. حال آنکه Internet Explorer همچنان در کانون توجه این مهاجمان قرار دارد.
مشروح گزارش ملوربایتز در اینجا قابل مطالعه است.
منبع : شبکه گستر