کمیته رکن چهارم – پژوهشگران شرکت نوپای enSilo (وابسته به رژیم صهیونیستی) بهتازگی موفق به کشف تروجان دسترسی از راه دور یا نوعی RAT شدهاند که نام آن را Moker گذاشتهاند.
این تروجان در شبکهی داخلی یکی از مشتریان شرکت enSilo کشف شده و مشخص نیست چگونه به این شبکه راه پیدا کرده است.
به گزارش کمیته رکن چهارم،انواع RAT به این دلیل شهرت دارند که در ماشینهای ویندوزی اغلب شناسایی آنها سخت است، اما Moker قابلیتهای دیگری هم دارد که شناسایی را سختتر میکند. این تروجان میتواند محصولات ضدبدافزاری و سندباکسها دور بزند، همچنین زمانی که در یک ماشین مجازی اجرا میشود، رفتار خود را تغییر میدهد. به علاوه کد منبع این بدافزار به سازوکارهای جلوگیری از تحلیل مجهز است و حتی در صورتی که پژوهشگران موفق به شناسایی کد آن شوند، نمیتوانند این کد را تحلیل نمایند. حتی کد منبع این بدافزار شامل کدهای جعلی و دستورالعملهای اشتباه است که پژوهشگران را گمراه میکند.
در صورتی که تروجان Moker در سامانهی قربانی نصب شود، میتواند کنترل کامل ماشین قربانی را به دست بگیرد و علاوه بر ضبط فعالیتهای کاربر، ضبط تصویر صفحهنمایش، ضبط کلیدهای فشردهشده و گذرواژهها، این بدافزار میتواند یک حساب کاربری جدید ایجاد کرده و تنظمیات امنیتی ماشین قربانی را تغییر دهد.
اگرچه کارگزار فرماندهی و کنترل این بدافزار در کشور صربستان قرار دارد، اما پژوهشگران معتقد هستند که این مسئله فقط برای گمراهی آنهاست و توسعهدهندگان اصلی این بدافزار از کشور دیگری هستند.
نکتهی جالب دیگری که در این بدافزار وجود دارد این است که برای دریافت دستورات لازم نیست این بدافزار حتماً به کارگزار فرماندهی و کنترل متصل شود، و یک پنل کنترلی مخفی در خود بدافزار وجود دارد که میتواند دستور ارسال نماید، در نهایت مهاجم از راه یک شبکهی خصوصی مجازی یا VPN به ماشینهای قربانیانی که برای وی جذابیت بیشتری دارند، متصل شده و اطلاعات لازم را از این ماشین دریافت میکند.
به نظر میرسد فنون به کار رفته در این بدافزار به اندازهای پیشرفته هستند که برای اهداف خاص به کار گرفته شود، و با توجه به سازوکارهای فرار از شناسایی در این تروجان، میتوان آن را در دستهی بدافزارهایی با اهداف خاص یا APTها قرار داد.
منبع:asis.io
