کمیته رکن چهارم – متخصصان امنیتی شرکتenSilo بهتازگی موفق به کشف تروجان بسیار خطرناکی از نوع RAT یا همان کنترل کننده از راه دور شدند و برای آن نام “Moker” را اتخاذ کردند.
به گزارش کمیته رکن چهارم،در صورتی که تروجان Moker در سامانه قربانی نصب شود، میتواند کنترل کامل ماشین قربانی را به دست بگیرد و علاوه بر ضبط فعالیتهای کاربر، ضبط تصویر صفحهنمایش، ضبط کلیدهای فشردهشده و گذرواژهها، این بدافزار میتواند یک حساب کاربری جدید ایجاد کرده و تنظمیات امنیتی ماشین قربانی را تغییر دهد.
به گزارش روابط عمومی شرکت ایمن رایانه پندار نماینده انحصاری ضدویروس پاندا در ایران،RAT ها به این دلیل شهرت دارند که در ماشینهای ویندوزی اغلب شناسایی آنها دشوار است، اما Moker از قابلیتهای پیشرفته تری برخوردار است که شناسایی آن را به نسبتاً دشوار تر ساخته است.
بر اساس آخرین اطلاعات منتشر شده از سوی لابراتوارهای شرکت پاندا سکیوریتی، این بدافزار مخرب در بانک های اطلاعاتی ضدویروس پاندا با نام TRJ/CI.AGeneric Trojanشناسایی و متوقف می شود. خوش بختانه تا به این لحظه هیچ یک از مشترکان تجاری و یا شخصی بطور جدی در دام این بدافزار خطرناک قرار نگرفته اند.
این تروجان میتواند محصولات امنیتی و سندباکسها را دور بزند، همچنین زمانی که در یک ماشین مجازی اجرا میشود، رفتار خود را به گونه ای تغییر میدهد تا توسط هیچگونه ابزاری تحلیل رفتاری نشود. علاوه بر این، کد منبع این بدافزار به سازوکارهای جلوگیری از تحلیل مجهز است و حتی در صورتی که کارشناسان حوزه امنیت موفق به شناسایی کد آن شوند، نمیتوانند این کد را تجزیه و تحلیل کنند. در واقع کد منبع این بدافزار شامل کدهای جعلی و دستورالعملهای اشتباه است که از این طریق پژوهشگران را گمراه سازد.
بنا بر اعلام پایگاه خبری امنیت فناوری اطلاعات، اگرچه کارگزار فرماندهی و کنترل این بدافزار در کشور صربستان قرار دارد، اما پژوهشگران معتقد هستند که این مسئله فقط برای گمراهی آنهاست و توسعهدهندگان اصلی این بدافزار از کشور دیگری هستند.
نکته جالب دیگری که در این بدافزار وجود دارد این است که برای دریافت دستورات لازم نیست این بدافزار حتماً به کارگزار فرماندهی و کنترل متصل شود و یک پنل کنترلی مخفی در خود بدافزار وجود دارد که میتواند دستور ارسال کند، در نهایت مهاجم از راه یک شبکه خصوصی مجازی یا VPN به ماشینهای قربانیانی که برای وی جذابیت بیشتری دارند، متصل شده و اطلاعات لازم را از این ماشین دریافت میکند.
به نظر میرسد فنون به کار رفته در این بدافزار به اندازهای پیشرفته هستند که برای اهداف خاص به کار گرفته شود، و با توجه به سازوکارهای فرار از شناسایی در این تروجان، میتوان آن را در دسته بدافزارهایی با اهداف خاص یا APT ها قرار داد.
منبع:رسانه خبری امنیت اطلاعات
