کشف باج‌افزار چند منظوره که حملات DDoS را تقویت می‌کند!

بدافزارکمیته رکن چهارم – محققان شرکت اینوینسیا هشدار داده‌اند که مجرمان سایبری از نوعی نرم‌افزار استفاده می‌کنند که به نظر می‌رسد از دستگاه‌های آلوده برای اهدافی مخرب همچون انجام حملات منع سرویس توزیع‌شده (DDoS) استفاده می‌کند.

به گزارش کمیته رکن چهارم،ایکنا دایک از شرکت اینوینسیا توضیح داده است که علاوه بر گروگان گرفتن داده‌های قربانی برای دریافت کردن باج، این نوع باج‌افزار، از سامانه قربانی به عنوان بخش بالقوه‌ای از حملات DDoS استفاده می‌کند.
محققان موفق شدند که این باج‌افزار را به یک خانواده‌ی سایبری گره بزنند و کشف کنند که این بدافزار تغییراتی را در محافظ صفحه نمایش Screensaver پدید می‌آورد که به او اجازه می‌دهد تا یک یادداشت باج‌افزار دائمی را روی صفحه نمایش قربانی نشان دهند. علاوه بر این، این باج‌افزار رفتار عجیب و غریبی در شبکه از خود نشان می‌دهد که آدرس IP آن مابین محدوده‌های ۸۵.۹۳.۰.۰ تا ۸۵.۹۳.۶۳.۲۵۵ قرار دارد.
عواملی که پشت این بدافزار هستند، از یک سند آلوده‌ی آفیس برای توزیع آن با یک روش حمله‌ی بدون پرونده استفاده می‌کنند. یک سند RTF در صندوق پستی قربانی قرار دارد و مهاجم تلاش می‌کند تا کاربر اجازه‌ی اجرای ماکروها را در نرم‌افزار مایکروسافت ورد برای دیدن محتوای آن بدهد. به محض اجرای آن، این ماکروها به یک سطح فرمان بالاتر در سامانه قربانی پرش می‌کنند و یک Vbscript رمزنگاری شده را اجرا می‌کنند.
به گفته پژوهشگر ایوینسیا، این کد بدافزار برای جلوگیری از تجزیه و تحلیل به صورت مبهم نوشته شده، ‌اما توابع و متغیرهای نوشته شده در آن، توسط رایانه تولید شده‌اند. تکه کدهایی از آن را هم می‌توان یافت که توسط انسان تولید شده‌اند، اما محققان عقیده دارند که متغیرها، اعداد صحیح و توضیحات در کدها در واقع طوری اضافه شده‌اند که تجزیه و تحلیل را مشکل کنند.
همچنین دایک کشف کرده است که برخی از این عملکردها در کدها به پرونده‎های متنی اشاره داد، ‌در حالی‎که در نهایت، این کدها به یک صورت یک پرونده vbs. صادر شده و سپس اجرا می‌شوند. بعد از اینکه این اسکریپت (که به نام ۳۲۶۳.vbs در این حمله نامگذاری شده است) ایجاد و اجرا شد، یک پرونده باینری آلوده‌ی دیگر به نام ۳۳۱۱.tmp ایجاد می‌کند که عقیده بر این است که یک باج‌افزار Cerber است.
علاوه بر انجام تغییرات در محافظ صفحه نمایش برای نشان دادن یادداشت باج‌افزار و فراخوانی زیرشبکه بسیار بزرگ ۲۵۵.۲۵۵.۱۹۲.۰، این باج‌افزار یک فایل tmp هگزادسیمال ایجاد می‌کند که متعاقباً یک روال explorer.exe را اجرا می‌کند. علاوه بر این، این روال، مجموعه‌هایی از پرونده‎های tmp ایجاد می‌کند و آن‎ها را روی دیسک می‌نویسد که ظاهراً این رشته حوادث به یک حلقه در VBScript مربوط می‌شوند.

به گفته‌ی این پژوهشگر، هنوز این احتمال وجود دارد که این نوع بدافزار مورد تجزیه و تحلیل قرار گرفته، به طور کامل فرایند انتقال بار داده‎ی مخرب خود را روی دستگاه قربانی تکمیل نکند. اگر این موضوع محتمل باشد، این کار به این معنا خواهد بود که علاوه بر فعالیت‌های مخرب مشاهده شده، ممکن است این بدافزار، فعالیت‌های مخرب دیگری را نیز برای اجرا روی دستگاه قربانی در نظر داشته باشد.
این محقق نتیجه‌گیری می‌کند: «به نظر می‌رسد که ترافیک مشاهده شده، زیرشبکه را با بسته‌های UDP روی درگاه ۶۸۹۲ بمباران می‌کند. با جعل آدرس مبدأ، میزبان می‌تواند همه‌ی ترافیک برگشت داده شده از زیرشبکه را به یک میزبان هدف تغییر مسیر دهد و موجب شود که میزبان قادر به پاسخگویی نباشد».
اوایل این هفته، مایکروسافت از بهبودهایی در بدافزار ماکرو خبر داد که اکنون مهارت‌هایی اضافی را به خود افزوده است و می‌تواند به شکل بهتری کدهای مخرب خود را پنهان کنند. بدافزار ماکرو که در دهه‌ی ۱۹۹۰ بسیار معمول بود، سال گذشته دوباره بازگشته است. اوایل این سال، Dridex و Locky دو خانواده از بدافزارهایی که از اسناد مخرب استفاده می‌کنند، شروع به مخفی کردن کدهای مخرب خود کرده‌اند.

منبع:رسانه خبری امنیت اطلاعات

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.