شناسایی بدافزار CTRL با انتشار از طریق فایل‌های LNK و فیشینگ پیشرفته

کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی یک ابزار دسترسی از راه دور خبر داده‌اند که از طریق فایل‌های میانبر مخرب ویندوز منتشر می‌شود.

به گزارش کمیته رکن چهارم، این بدافزار که با نام CTRL toolkit شناخته می‌شود، با استفاده از فایل‌های LNK که به‌صورت پوشه‌های «کلید خصوصی» جعل شده‌اند، کاربران را فریب داده و پس از اجرا، یک زنجیره چندمرحله‌ای برای استقرار کامل خود آغاز می‌کند.

در این حمله، فایل LNK با اجرای یک دستور PowerShell مخفی، داده‌های رمزگذاری‌شده را در حافظه اجرا کرده و با برقراری ارتباط با سرور مهاجم، payloadهای بعدی را دریافت می‌کند. این بدافزار قادر است تغییراتی در تنظیمات سیستم ایجاد کند، از جمله تغییر قوانین فایروال، ایجاد ماندگاری از طریق scheduled task و ایجاد حساب‌های کاربری پشتی.

همچنین یک سرور مبتنی بر cmd.exe روی سیستم قربانی راه‌اندازی می‌شود که از طریق تونل‌سازی معکوس قابل دسترسی است. ارتباطات فرمان و کنترل نیز به‌گونه‌ای طراحی شده که تا حد امکان در داخل سیستم باقی بماند و شناسایی آن دشوارتر شود.

از جمله قابلیت‌های این ابزار می‌توان به ثبت کلیدهای فشرده‌شده، جمع‌آوری اطلاعات سیستم، اجرای ماژول‌های سرقت اطلاعات و استخراج داده‌ها اشاره کرد. داده‌های ثبت‌شده در فایل‌هایی مانند keylog ذخیره می‌شوند.

فیشینگ پیشرفته

یکی از بخش‌های قابل توجه این بدافزار، استفاده از یک رابط کاربری جعلی برای شبیه‌سازی پنجره ورود Windows Hello است. این پنجره به‌گونه‌ای طراحی شده که رفتار سیستم واقعی را تقلید کرده و اطلاعات واردشده توسط کاربر را ثبت می‌کند، در حالی که امکان خروج از آن محدود شده است.

پیش‌زمینه

در سال‌های اخیر، استفاده از فایل‌های LNK به‌عنوان یک روش مؤثر برای توزیع بدافزار افزایش یافته است. این فایل‌ها به‌دلیل ظاهر ساده و قابل اعتماد، به‌راحتی می‌توانند کاربران را فریب دهند. هم‌زمان، مهاجمان به سمت استفاده از ابزارهای سفارشی با تمرکز بر پنهان‌کاری و کاهش ردپا حرکت کرده‌اند تا شناسایی فعالیت‌های خود را دشوارتر کنند.

منبع: The Hacker News