کمیته رکن چهارم – محققان امنیت سایبری یک تروجان متنباز مبتنیبر #C جدید به نام QuasarRAT را کشف کردهاند که با تکنیکهای منحصربهفرد اطلاعات حساس را سرقت میکند.
QuasarRAT یک تروجان متنباز مبتنیبر #C است که مهاجم برای آن از تکنیک بارگذاری جانبی DLL استفاده کرده که ازاین طریق اقدام به جمعآوری اطلاعات حساس و مهم در هاستهای ویندوزی میکند. این بدافزار از فایلهای معتبر سیستم مانند cftmon.exe و calc.exe بعنوان بخشی از زنجیره حمله استفاده کرده و سیستمهای مختلفی را آلوده میسازد.
QuasarRAT یک تروجان دسترسی از راهدور متنباز است که با استفاده از تکنیک بارگذاری جانبی DLL جهت دورزدن آنتیویروس استفاده کرده و بطور مخفیانه دادههای مهم را در هاستهای ویندوزی به سرقت میبرد. این تروجان که با نامهای CinaRAT و Yggdrasil نیز شناخته میشود با استفاده C# توسعه داده شده است و قادر است اطلاعات مختلف و حساس سیستم مانند لیست برنامههای درحال اجرا، فایلها، کلیدها و حروف تایپ شده، اسکرینشاتها و دستورات Shell را جمعآوری کرده و برای مهاجم ارسال کند.
محققین امنیتی Uptycs در گزارشی اعلام کردند که این بدافزار به cftmon.exe و calc.exe وابسته بوده و بعنوان بخشی از زنجیره حمله از آنها استفاده میکند.
بارگذاری جانبی DLL تکنیک محبوبی است که توسط بسیاری از مهاجمان برای اجرای پیلودهای مخرب با نصب یک فایل DLL جعلی با نام یک فایل سالم بکار گرفته میشود. MITRE در رابطه با روش حمله خاطرنشان کرد که: «مهاجمان احتمالاً از بارگذاری جانبی DLL بعنوان ابزاری جهت مخفیسازی اقدامات مخرب در قالب یک فرآیند قانونی و مورد اعتماد سیستم استفاده میکنند.»
نقطه شروع حمله مستند شده توسط Uptycs یک فایل ISO شامل سه فایل دیگر بصورت زیر است:
- یک فایل باینری با نام cftmon.exe که به نام eBill-997358806.exe تغییر داده شده است.
- یک فایل MsCftMonitor.dll که به monitor.ini تغییر نام داده است.
- یک فایل مخرب با نام MsCftMonitor.dll
محققان این شرکت میگویند که: «هنگامی که فایل eBill-997358806.exe اجرا میشود، با استفاده از تکنیک بارگذاری جانبی DLL فایل دیگری را با نام MsCftMonitor.dll بارگیری میکند که کدهای مخرب در آن پنهان شده است.»
کدهای مخرب مخفی شده یک فایل اجرایی با نام FileDownloader.exe است که به منظور راهاندازی مرحله بعدی به Regasm.exe (فایل سالم و معتبر ویندوز) تزریق میشود؛ Calc.exe نیز Secure32.dll را از طریق این تکنیک تزریق و پیلود نهایی QuasarRAT را راهاندازی میکند.
این تروجان به نوبه خود با یک سرور از راهدور برای ارسال اطلاعات سیستم ارتباط برقرار میکند و حتی یک پروکسی معکوس برای دسترسی از راهدور به نقطه پایانی راهاندازی میکند.
هویت مهاجم و بردار دسترسی اولیه مورد استفاده برای انجام حمله بصورت دقیق مشخص نیست اما این احتمال وجود دارد که از طریق ایمیلهای فیشینگ منتشر شده و ضروری است که کاربران مراقب ایمیلها، لینک یا پیوستهای مشکوک باشند.
تمام کاربران عادی و سازمانی در برابر بدافزارها در معرض خطر قرار دارند و با توجه به اینکه این بدافزار از طریق حمله فیشینگ به سیستم نفوذ میکند، لذا توصیه میشود که کاربران مراقب ایمیلها، لینک یا پیوستهای مشکوک باشند.
منبع: افتانا