کمیته رکن چهارم – تحقیقات نشان داده است که نوعی بدافزار جدید با فلشمموریهای USB منتقل میشود و باید از فلشها محافظت کرد.
کارشناسان هشدار دادهاند یک نوع بدافزار جدید که از درایوهای USB سوءاستفاده میکند، به سرعت در حال گسترش در سراسر جهان است.
شرکت امنیت سایبری Check Point گزارشی را منتشر کرد که نشان میدهد چگونه یک گروه تحت حمایت دولت چین به نام Camaro Dragon (که همچنین با نامهای Mustang Panda و LuminousMoth شناخته میشود) در حال انتشار بدافزار از طریق درایورهای USB آلوده است.
WispRider نام نوع اصلی مورد استفاده این بدافزار است که چندین بار تکرار شده است. این نرمافزار مخرب از لانچر HopperTrick برای انتشار از طریق USB استفاده میکند و همچنین میتواند بهراحتی SmadAV، یک حل آنتیویروس محبوب در جنوب شرقی آسیا را دور بزند.
منطقه جنوب شرقی آسیا جایی است که بدافزار شروع به کار کرد، اما سپس از طریق درایوهای USB در سایر مناطق جهان منتشر شد. در اوایل سال ۲۰۲۳، تیم واکنش به رویدادCheck Point متوجه شد که این بدافزار به یک مؤسسه مراقبتهای بهداشتی اروپایی رسیده است.
WispRider همچنین با استفاده از اجزای نرمافزار امنیتی مانند G-DATA Total Security و قطعات متعلق به Electronic Arts و Riot Games، دو غول دنیای بازی، قادر به بارگذاری جانبی DLL است. Check Point به شرکتهای فوق اطلاع داد که مهاجمان از نرمافزار مربوطه آنها استفاده کردهاند.
این شرکت امنیتی میگوید: شیوع و ماهیت حملات با استفاده از بدافزارهای یواسبی خود انتشاری، نیاز به محافظت در برابر آنها را نشان میدهد، حتی برای سازمانهایی که ممکن است هدف مستقیم چنین کمپینهایی نباشند.
این سازمان ادعا می کند که گسترش بدافزار USB را در کشورهای دیگر در سراسر جهان از جمله میانمار، کره جنوبی، بریتانیا، هند و روسیه پیدا کرده است.
Check Point همچنین اشاره میکند که WispRider با ابزارهای دیگری که اخیرا توسط Camaro Dragon استفاده میشود، مانند یک در پشتی به نام TinyNote و یک سیستمافزار روتر به نام HorseShell همسو میشود. این شرکت ادعا کرده است که همه آنها زیرساختها و اهداف عملیاتی مشترک دارند.
از زمانی که این پرونده در بیمارستان اروپایی مشاهده شد، بدافزار ارتقا یافته است. این بدافزار اکنون ساختار یکپارچهتری دارد که به موجب آن، آلودهکننده USB، ماژول فرار و در پشتی در یک محموله برخلاف مجموعهای جداگانه از فایلهای اجرایی قانونی و DLLهای بارگذاریشده جانبی ترکیب میشوند.
کدگذاری اجزای بدافزار نیز اصلاح شده است و نسخههای جدیدتر همه مؤلفهها اکنون به زبان C++ نوشته شدهاند، در حالی که راهانداز USB در دلفی نوشته شده است.
منبع: افتانا