این تروجان جدید اطلاعات حساس را می‌دزدد

کمیته رکن چهارم – محققان امنیت سایبری یک تروجان متن‌‌‌باز مبتنی‌‌‌بر #C جدید به نام QuasarRAT را کشف کرده‌اند که با تکنیک‌های منحصربه‌فرد اطلاعات حساس را سرقت می‌کند.

QuasarRAT یک تروجان متن‌‌‌باز مبتنی‌‌‌بر #C است که مهاجم برای آن از تکنیک بارگذاری جانبی DLL استفاده کرده که ازاین طریق اقدام به جمع‌‌‌آوری اطلاعات حساس و مهم در هاست‌‌‌های ویندوزی می‌‌‌کند. این بدافزار از فایل‌‌‌های معتبر سیستم مانند cftmon.exe و calc.exe بعنوان بخشی از زنجیره حمله استفاده کرده و سیستم‌‌‌های مختلفی را آلوده می‌‌‌سازد.

QuasarRAT یک تروجان دسترسی از راه‌‌‌دور متن‌‌‌باز است که با استفاده از تکنیک بارگذاری جانبی DLL جهت دورزدن آنتی‌‌‌ویروس استفاده کرده و بطور مخفیانه داده‌‌‌های مهم را در هاست‌‌‌های ویندوزی به سرقت می‌‌‌برد. این تروجان که با نام‌‌‌های CinaRAT و Yggdrasil نیز شناخته می‌‌‌شود با استفاده C# توسعه داده شده است و قادر است اطلاعات مختلف و حساس سیستم مانند لیست برنامه‌‌‌های درحال اجرا، فایل‌‌‌ها، کلیدها و حروف تایپ شده، اسکرین‌‌‌شات‌‌‌ها و دستورات Shell را جمع‌‌‌آوری کرده و برای مهاجم ارسال کند.

محققین امنیتی Uptycs در گزارشی اعلام کردند که این بدافزار به cftmon.exe و calc.exe وابسته بوده و بعنوان بخشی از زنجیره حمله از آن‌‌‌ها استفاده می‌‌‌کند.

بارگذاری جانبی DLL تکنیک محبوبی است که توسط بسیاری از مهاجمان برای اجرای پی‌لودهای مخرب با نصب یک فایل DLL جعلی با نام یک فایل سالم بکار گرفته می‌‌‌شود. MITRE در رابطه با روش حمله خاطرنشان کرد که: «مهاجمان احتمالاً از بارگذاری جانبی DLL بعنوان ابزاری جهت مخفی‌‌‌سازی اقدامات مخرب در قالب یک فرآیند قانونی و مورد اعتماد سیستم استفاده می‌‌‌کنند.»

نقطه شروع حمله مستند شده توسط Uptycs یک فایل ISO شامل سه فایل دیگر بصورت زیر است:

  •  یک فایل باینری با نام cftmon.exe که به نام eBill-997358806.exe تغییر داده شده است.
  •  یک فایل MsCftMonitor.dll که به monitor.ini تغییر نام داده است.
  •  یک فایل مخرب با نام MsCftMonitor.dll

محققان این شرکت می‌‌‌‌گویند که: «هنگامی که فایل eBill-997358806.exe اجرا می‌‌‌‌شود، با استفاده از تکنیک بارگذاری جانبی DLL فایل دیگری را با نام MsCftMonitor.dll بارگیری می‌‌‌‌کند که کدهای مخرب در آن پنهان شده است.»

کدهای مخرب مخفی شده یک فایل اجرایی با نام FileDownloader.exe است که به منظور راه‌‌‌‌اندازی مرحله بعدی به Regasm.exe (فایل سالم و معتبر ویندوز) تزریق می‌‌‌‌شود؛ Calc.exe نیز Secure32.dll را از طریق این تکنیک تزریق و پی‌لود نهایی QuasarRAT را راه‌‌‌‌اندازی می‌‌‌‌کند.

این تروجان به نوبه خود با یک سرور از راه‌‌‌‌دور برای ارسال اطلاعات سیستم ارتباط برقرار می‌‌‌‌کند و حتی یک پروکسی معکوس برای دسترسی از راه‌‌‌‌دور به نقطه پایانی راه‌‌‌‌اندازی می‌‌‌‌کند.

هویت مهاجم و بردار دسترسی اولیه مورد استفاده برای انجام حمله بصورت دقیق مشخص نیست اما این احتمال وجود دارد که از طریق ایمیل‌‌‌‌های فیشینگ منتشر شده و ضروری است که کاربران مراقب ایمیل‌‌‌‌ها، لینک یا پیوست‌‌‌‌های مشکوک باشند.

تمام کاربران عادی و سازمانی در برابر بدافزارها در معرض خطر قرار دارند و با توجه به اینکه این بدافزار از طریق حمله فیشینگ به سیستم نفوذ می‌‌‌‌کند، لذا توصیه می‌‌‌‌شود که کاربران مراقب ایمیل‌‌‌‌ها، لینک یا پیوست‌های مشکوک باشند.

منبع: افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.