کمیته رکن چهارم – در میان باتنتهایی که امروزه در دنیای هکری مورد استفاده قرار میگیرند، Kelihos جزء معدود باتنتهایی است که نزدیک به هشت سال است از سوی هکرها مورد استفاده قرار میگیرد و هر بار کارشناسان امنیتی سعی کردهاند این باتنت را شکست دهند مغلوب شدهاند.
به گزارش کمیته رکن چهارم،کارشناسان حوزه امنیت در سپتامبر سال ۲۰۱۱ و مارس ۲۰۱۲ تلاش کردند این باتنت را شکست دهند، اما در هر دو مورد مغلوب شدند. در طول این سالها هکرها از باتنت فوق به شکلهای مختلف برای ارسال هرزنامهها و توزیع باجافزارهایی همچون MorsJoke و Wildfire سود بردند.
چگونه مطمئن شویم حسابهای گوگل ما توسط بدافزار اندروید هک نشدهاند؟
در مردادماه، کارشناسان امنیتی گزارش کردند که هکرها در تلاش هستند تا این باتنت را در کنار باتنتهای دیگر مورد استفاده قرار دهند. به طوری که به منظور توزیع باجافزارها و تروجانهای بانکی مورد استفاده قرار گیرد. باتنت Kelihos در یک اتفاق کم سابقه در یک شب موفق شد سه برابر رشد کرده و ۳۴٫۵۳۳ دستگاه را آلوده سازد. در شهریورماه این باتنت شروع به توزیع تروجانهای بانکی NyMain، PandaZeus و Kronos کرد. اما در ماه جاری (آذرماه) کارشناسان گزارش کردند که این باتنت مجددا فرآیند توزیع باجافزارها را از سر گرفته است. در مکانیزم جدید Kelihos اسپمهایی که حاوی لینکهایی به یک فایل جاوااسکریپت و یک سند ورد است را به منظور توزیع باجافزار Troldesh برای کاربران مختلف ارسال کرد.
Kelihos یکی از معدود باتنتهایی است که کارشناسان امنیتی هنوز موفق نشدهاند، آنرا ردیابی کنند.
این اولین باری است که شاهد آن هستیم که باتنت فوق از فایلهای جاوااسکریپت به منظور آلوده کردن کاربران استفاده میکند. باجافزاری که این باتنت آنرا ارسال میکند، فایلهای کاربران را رمزگذاری کرده و فرمت فایلی آنها را no_more-ransom نامگذاری میکند. در مهرماه آزمایشگاه کسپرسکی، دپارتمان امنیتی اینتل و پلیس اتحادیه اروپا پروژهای موسوم به NoMoreRansom را پایهگذاری کردند تا به قربانیان باجافزارها کمک کنند. به همین دلیل هکرها تصمیم گرفتند نام فرمت فایلی خود را از پروژه این شرکتها اقتباس کرده و به نوعی این شرکتها را مورد تمسخر قرار دهند.
این باجافزار در حال حاضر ایمیلهایی که فرمت فایلی آنها au. است را هدف قرار میدهد. این باتنت همچنین ایمیلهای دوستیابی را برای کاربرانی که آدرس ایمیل آنها به .pl ختم میشود و ایمیلهای مالی را برای کاربرانی که آدرس ایمیل آنها .vs است، ارسال میکنند. این باتنت همچنین ایمیلهایی با موضوعات پزشکی برای کاربران سراسر جهان ارسال میکند. باجافزار Troldesh پیامهای هرزنامهای را تحت عنوان و تم کارتهای هدیه بانک امریکا برای کاربران ارسال میکند.
راهنمای حذف بدافزارها
زمانی که کاربر فایل آلوده را باز میکند، باجافزار دانلود شده و رمزنگاری فایلها را آغاز میکند. در ادامه یادداشتی به زبان روسی و انگلیسی به کاربران نشان داده شده و به آنها نحوه پرداخت باج و نحوه ارتباط با هکرها را توضیح میدهد.
این باجافزار قادر به فراخوانی بدافزارهای دیگر بوده و از طریق سرور کنترل و فرماندهی آنها را خطدهی میکند. همچنین بدافزار روباینده اطلاعات Pony را برای سرقت گذرواژهها و اطلاعات حساس روی کامپیوتر قربانیان نصب میکند.
منبع:رسانه خبری امنیت اطلاعات
