کمیته رکن چهارم – محققان شرکت اینوینسیا هشدار دادهاند که مجرمان سایبری از نوعی نرمافزار استفاده میکنند که به نظر میرسد از دستگاههای آلوده برای اهدافی مخرب همچون انجام حملات منع سرویس توزیعشده (DDoS) استفاده میکند.
به گزارش کمیته رکن چهارم،ایکنا دایک از شرکت اینوینسیا توضیح داده است که علاوه بر گروگان گرفتن دادههای قربانی برای دریافت کردن باج، این نوع باجافزار، از سامانه قربانی به عنوان بخش بالقوهای از حملات DDoS استفاده میکند.
محققان موفق شدند که این باجافزار را به یک خانوادهی سایبری گره بزنند و کشف کنند که این بدافزار تغییراتی را در محافظ صفحه نمایش Screensaver پدید میآورد که به او اجازه میدهد تا یک یادداشت باجافزار دائمی را روی صفحه نمایش قربانی نشان دهند. علاوه بر این، این باجافزار رفتار عجیب و غریبی در شبکه از خود نشان میدهد که آدرس IP آن مابین محدودههای ۸۵.۹۳.۰.۰ تا ۸۵.۹۳.۶۳.۲۵۵ قرار دارد.
عواملی که پشت این بدافزار هستند، از یک سند آلودهی آفیس برای توزیع آن با یک روش حملهی بدون پرونده استفاده میکنند. یک سند RTF در صندوق پستی قربانی قرار دارد و مهاجم تلاش میکند تا کاربر اجازهی اجرای ماکروها را در نرمافزار مایکروسافت ورد برای دیدن محتوای آن بدهد. به محض اجرای آن، این ماکروها به یک سطح فرمان بالاتر در سامانه قربانی پرش میکنند و یک Vbscript رمزنگاری شده را اجرا میکنند.
به گفته پژوهشگر ایوینسیا، این کد بدافزار برای جلوگیری از تجزیه و تحلیل به صورت مبهم نوشته شده، اما توابع و متغیرهای نوشته شده در آن، توسط رایانه تولید شدهاند. تکه کدهایی از آن را هم میتوان یافت که توسط انسان تولید شدهاند، اما محققان عقیده دارند که متغیرها، اعداد صحیح و توضیحات در کدها در واقع طوری اضافه شدهاند که تجزیه و تحلیل را مشکل کنند.
همچنین دایک کشف کرده است که برخی از این عملکردها در کدها به پروندههای متنی اشاره داد، در حالیکه در نهایت، این کدها به یک صورت یک پرونده vbs. صادر شده و سپس اجرا میشوند. بعد از اینکه این اسکریپت (که به نام ۳۲۶۳.vbs در این حمله نامگذاری شده است) ایجاد و اجرا شد، یک پرونده باینری آلودهی دیگر به نام ۳۳۱۱.tmp ایجاد میکند که عقیده بر این است که یک باجافزار Cerber است.
علاوه بر انجام تغییرات در محافظ صفحه نمایش برای نشان دادن یادداشت باجافزار و فراخوانی زیرشبکه بسیار بزرگ ۲۵۵.۲۵۵.۱۹۲.۰، این باجافزار یک فایل tmp هگزادسیمال ایجاد میکند که متعاقباً یک روال explorer.exe را اجرا میکند. علاوه بر این، این روال، مجموعههایی از پروندههای tmp ایجاد میکند و آنها را روی دیسک مینویسد که ظاهراً این رشته حوادث به یک حلقه در VBScript مربوط میشوند.
به گفتهی این پژوهشگر، هنوز این احتمال وجود دارد که این نوع بدافزار مورد تجزیه و تحلیل قرار گرفته، به طور کامل فرایند انتقال بار دادهی مخرب خود را روی دستگاه قربانی تکمیل نکند. اگر این موضوع محتمل باشد، این کار به این معنا خواهد بود که علاوه بر فعالیتهای مخرب مشاهده شده، ممکن است این بدافزار، فعالیتهای مخرب دیگری را نیز برای اجرا روی دستگاه قربانی در نظر داشته باشد.
این محقق نتیجهگیری میکند: «به نظر میرسد که ترافیک مشاهده شده، زیرشبکه را با بستههای UDP روی درگاه ۶۸۹۲ بمباران میکند. با جعل آدرس مبدأ، میزبان میتواند همهی ترافیک برگشت داده شده از زیرشبکه را به یک میزبان هدف تغییر مسیر دهد و موجب شود که میزبان قادر به پاسخگویی نباشد».
اوایل این هفته، مایکروسافت از بهبودهایی در بدافزار ماکرو خبر داد که اکنون مهارتهایی اضافی را به خود افزوده است و میتواند به شکل بهتری کدهای مخرب خود را پنهان کنند. بدافزار ماکرو که در دههی ۱۹۹۰ بسیار معمول بود، سال گذشته دوباره بازگشته است. اوایل این سال، Dridex و Locky دو خانواده از بدافزارهایی که از اسناد مخرب استفاده میکنند، شروع به مخفی کردن کدهای مخرب خود کردهاند.
منبع:رسانه خبری امنیت اطلاعات
