کمیته رکن چهارم – هکرها در یک کمپین بدافزاری جدید با استفاده از نسخه مخرب برنامه dnSpy اقدام به رهاسازی بدافزارهای متنوع بر روی سیستم محققان و توسعهدهندگان امنیت سایبری کردهاند.
هکرها در یک کمپین بدافزاری پیچیده، محققان و توسعهدهندگان امنیت سایبری را مورد هدف قرار دادهاند. مهاجمان در این کمپین با هدف نصب سرقتکنندههای ارز دیجیتال، تروجانهای دسترسی راه دور و استخراجکنندهها، اقدام به انتشار نسخه آلوده و مخرب اپلیکیشن dnSpy .NET میکنند.
dnSpy یک دیباگر (برطرف کننده عیب و اشکال) محبوب و ویرایشگر اسمبلی دات نت است که برای دیباگ، اصلاح و دیکامپایل کردن (فرازش) برنامههای دات نت مورد استفاده قرار میگیرد. محققان امنیت سایبری معمولا برای تحلیل بدافزار و نرمافزار دات نت از این برنامه استفاده میکنند.
اگرچه این نرمافزار دیگر به صورت فعال توسط توسعهدهندگان اولیه آن توسعه نمییابد اما کد منبع اصلی و نسخه جدید آن بر روی گیتهاب قابل دسترسی است و هر کسی میتواند آن را دستخوش تغییر کند.
این هفته یک بازیگر مخرب مرکز ذخیرهسازی گیتهابی را همراه با نسخه فشرده dnSpy ایجاد کرد که بدافزارهایی شامل هایجککنندههای کلیپ بورد، ماینر، تروجان دسترسی راه دور Quasar و پیلودهای ناشناخته را نصب میکند.
این کمپین توسط محققان امنیتی ۰day enthusiast و MalwareHunterTeam شناسایی شد.
این برنامه درصورت اجرا میتواند فعالیتهای زیر را انجام دهد:
- غیرفعالسازی Microsoft Defender
- استفاده از bitsadmin.exe برای دانلود curl.exe
- استفاده از curl.exe و bitsadmin.exe برای دانلود پیلودهای مختلف در پوشه C:Trash و راهاندازی آن ه
- غیرفعالسازی کنترل حساب کاربری
حمله به محققان و توسعهدهندگان امنیت سایبری موضوع جدیدی نیست و به طور فزایندهای در حال رشد است. مهاجمان با هدف قرار دادن آنها سعی بر سرقت آسیبپذیریهای افشا نشده و کد منبع و همچنین دسترسی به شبکههای حساس دارند.
منبع : سایبربان
