کمیته رکن چهارم – محققان امنیت سایبری یک بدافزار جدید به نام HijackLoader کشق کردهاند که بدافزارهای مخرب زیادی را به سیستم قربانی ارسال میکند.
یک بدافزار انتشار جدید به نام HijackLoader در محیط سایبری به منظور ارسال انواع مختلفی از بدافزارهای مخرب مانند DanaBot، SystemBC و RedLine Stealer کشف شده است.
اگرچه HijackLoader شامل ویژگیهای پیشرفته نمیشود، اما از این قابلیت برخوردار است که از انواع ماژولها برای درج کد و اجرا استفاده کند، زیرا از یک معماری ماژولار استفاده میکند و این ویژگی در بیشتر منتشرکنندهها وجود ندارد.
این بدافزار شامل استفاده از syscalls برای اجتناب از نظارت توسط راهحلهای امنیتی، نظارت بر فرآیندهای مرتبط با نرمافزارهای امنیتی بر اساس یک فهرست سیاه جاسازی (Embedded Blocklist) شده و به تعویق انداختن اجرای کد تا حداکثر ۴۰ ثانیه در مراحل مختلف است.
بردار دسترسی اولیه برای نفوذ به اهداف در حال حاضر شناخته نشده است. این بارگذار دارای یک ماژول اصلی ابزاردهی است که اجرای کد و درج کد انعطافپذیر را با استفاده از ماژولهای جاسازی شده فراهم میکند.
پایداری در سیستم قربانی توسط ایجاد یک فایل میانبر (LNK) در پوشه راهاندازی ویندوز و اشاره به یک کار BITS (Background Intelligent Transfer Service) تحقق مییابد.
HijackLoader یک بارگذار ماژولار با تکنیکهای جلوگیری است که انواع گزینههای بارگذاری برای بارهای مخرب فراهم میکند. علاوه بر این، هیچ ویژگی پیشرفتهای ندارد و کیفیت کد آن ضعیف است.
این افشا به معرفی نسخه بهروزشدهای از بدافزار دزدی اطلاعات به نام RisePro از طریق خدمتدهنده دانلود بدافزار با پرداخت به نام PrivateLoader توسط Flashpoint همراه شد.
فروشنده در تبلیغات خود ادعا کرده است که بهترین جنبههای ‘RedLine’ و ‘Vidar’ را انتخاب کرده تا یک دزدی قدرتمند ایجاد کند.
RisePro که به زبان C++ نوشته شده است، طراحی شده است تا اطلاعات حساس را از رایانههای آلوده جمعآوری کرده و به صورت گزارشها به سرور کنترل فرمان و کنترل (C&C) ارسال کند. این بدافزار برای فروش اولین بار در دسامبر ۲۰۲۲ ارائه شد.
همچنین یک بدافزار جدید دزدی اطلاعات که با استفاده از Node.js نوشته شده و در یک فایل اجرایی قرار داده شده و از طریق تبلیغات فیسبوک با موضوع مدل زبان بزرگ (LLM) و وبسایتهای تقلبی به عنوان ویرایشگر ویدیو CapCut شرکت ByteDance شناخته میشود، کشف شده است.
زمانی که اجرا میشود، کوکیها و اعتبارهای خود را از چندین مرورگر وب مبتنی بر کروم سرقت میکند، سپس اطلاعات را به سرور C&C و به ربات تلگرام ارسال میکند و هنگامی که سرور C&C پیامی به مشتری ارسال میکند، عملکرد سرقت مجدداً اجرا میشود. مرورگرهای هدف شامل Google Chrome، Microsoft Edge، Opera (و OperaGX) و Brave هستند.
این دومین بار است که وبسایتهای تقلبی CapCut مشاهده شدهاند که امکان سرقت اطلاعات را ارائه میدهند. در ماه مه ۲۰۲۳، Cyble دو زنجیره حمله متفاوتی را کشف کرد که از نرمافزار به عنوان یک تلفیقکننده برای گول زدن کاربران ناشناخته برای اجرای Offx Stealer و RedLine Stealer استفاده میکردند.
تحولات و رخدادهای مختلفی که در حوزه جرم سایبری و حملات اینترنتی اتفاق میافتد، تصویری از یک سیستم پویا را نشان میدهند. این سیستم شامل تعاملات و فعالیتهای متعددی از جمله ایجاد و گسترش نرمافزارهای مخرب، روشهای جدیدی برای نفوذ به سیستمها و شبکهها، استفاده از تکنیکهای تازه برای جلب توجه و سایر عوامل مرتبط با جرم سایبری میباشد.
این سیستم به طور مداوم در حال تکامل و تغییر است و عوامل تهدیدی در آن برای نفوذ به سازمانها و انجام عملیات پس از نفوذ از طریق عفونتهای دزدی از اطلاعات به عنوان یک برداشت حمله اصلی استفاده میکنند. این تغییرات و تحولات نشاندهنده پیچیدگی و پویایی جرم سایبری در دنیای امروز و نیاز به تصمیمگیریها و اقدامات امنیتی مداوم برای مقابله با این تهدیدات است.
بدافزار مبتنی بر پایتون با استفاده از Pyinstaller بستهبندی شده است، که میتواند برای ترکیب کد مخرب و تمام وابستگیهای آن به یک فایل اجرایی واحد استفاده شود.
بدافزار تمرکز خود را بر روی چندین کار مهم مرتبط با متغیرهای امنیتی در سیستم عامل ویندوز دارد:
- غیرفعال کردن Windows Defender: این بدافزار سرقت اطلاعات سعی دارد این نرمافزار آنتیویروس را غیرفعال کند.
- تنظیم مجدد تنظیمات Windows Defender: بدافزار تلاش میکند تنظیمات ویندوز Defender را به نفع خود تغییر دهد. این ممکن است شامل تغییر تنظیمات اسکن و تنظیمات حفاظت در زمینههای مختلف امنیتی باشد. این تغییرات معمولاً برای اجتناب از تشخیص بدافزار توسط نرمافزار آنتیویروس ویندوز Defender انجام میشود.
- پیکربندی پاسخ به تهدیدات خود: بدافزار سرقت اطلاعات اقدام به تنظیم پاسخهای خود به تهدیدات ممکن در سیستم میکند. این به این معناست که اگر سیستم یا نرمافزارهای امنیتی سعی در تشخیص یا حذف آن کنند، بدافزار ممکن است به صورت خودکار تنظیمات خود را تغییر دهد تا شناسایی نشود و از مراقبتهای امنیتی فرار کند.
این عملیات قصد دارند تا بدافزار را در سیستم فعال نگه دارند و از شناسایی و حذف آن توسط نرمافزارهای امنیتی ویندوز Defender جلوگیری کنند، به این ترتیب از ادامه فعالیتهای مخرب خود بر روی سیستم قربانی مطمئن شوند.
به نظر میرسد که این بدافزار برای دزدی و انتقال اطلاعات طراحی شده است، در حالی که از شناسایی توسط ابزارهای امنیتی و همچنین محدودههای تحلیل پویا پنهان میشود.
توصیههای امنیتی
- بهروزرسانی نرمافزارها: اطمینان حاصل کنید که سیستمعامل، نرمافزارها، و برنامههای امنیتی شما بهروزرسانی شده باشند. بسیاری از بدافزارها از ضعفها و آسیبپذیریهای پیشین استفاده میکنند.
- استفاده از آنتیویروس: نصب یک نرمافزار آنتیویروس قوی و بهروز و تنظیم آن برای اسکن و شناسایی بدافزارها میتواند به شما کمک کند تا از نفوذ جلوگیری کنید.
- مراقبت از فایلها و ضمیمهها: هرگز فایلها و ضمیمههای ناشناخته و از منابع ناشناخته در ایمیلها یا پیامهای مستقیم دانلود یا اجرا نکنید.
- جلوگیری از اجرای کدهای ناشناخته: اجازه ندهید بهصورت خودکار کدها و اسکریپتهای ناشناخته اجرا شوند. ممکن است از ویروسهای معمولاً کدهای اجراشونده در ایمیلها یا در وبسایتها استفاده کنند.
منبع : افتانا