بدافزاری که دارد به تهدیدی بزرگ تبدیل می‌شود

به گزارش فیسیت، این بدافزار جدید گونه پیشرفته و جهش یافته‌ای از بدافزاری است که چند سال قبل شناسایی شده بود. بدافزار فوق که MM Core نام دارد، اولین بار در آوریل سال 2013 میلادی شناسایی شد. پژوهشگران شرکت امنیتی فایرآی در آن زمان اعلام کردند، قابلیت‌های این بدافزار در نوع خود جالب توجه است. به دلیل این‌که سعی می‌کند اطلاعاتی در ارتباط با ماشینی که آن‌‌را آلوده کرده جمع‌آوری کرده و در ادامه این اطلاعات را برای یک سرور راه دور ارسال کند. پس از انجام این‌کار یک درب پشتی را روی ماشین قربانی نصب می‌کند.

اولین نسخه از این بدافزار به نام BaneChant عمدتا شرکت‌ها و سازمان‌هایی که در شرق آسیا و آسیای مرکزی قرار داشتند را هدف قرار داده بود. بدافزار فوق از شگرد هوشمندانه‌ای برای فریب سامانه‌های امنیتی استفاده می‌کرد. این بدافزار زمانی که روی سیستم قربانی قرار می‌گرفت پیش از آن‌که فعالیت خود را آغاز کند، صبر می‌کرد تا قربانی چند کلیک با ماوس انجام دهد. به این شکل بدافزار این توانایی را داشت تا از مکانیزم سندباکس موسوم به جعبه شنی فرار کند.

دو نگارش جدید در سال 2017

اما پژوهشگران به تازگی دو نسخه جدید از این بدافزار به نام‌های BigBoss و SillyGoose را شناسایی کرده‌اند. نسخه BigBoss کار خود را از سال 2015 میلادی آغاز کرده و sillyGoose از سپتامبر 2016 (شهریورماه) کار خود را آغاز کرده است. نسخه‌های جدید کاربرانی که در آفریقا و ایالات متحده ساکن هستند را به عنوان اهداف خود انتخاب کرده‌اند. این دو بدافزار سایت‌های خبری، دولتی، صنایع نفت/گاز و مخابرات را به عنوان اهداف خود برگزیده است. این دو نسخه دقیقا همان درب پشتی که دو نگارش قبلی روی ماشین‌های قربانی‌ها نصب می‌کردند را با نام متفاوت قرار می‌دهند.

این دو بدافزار از آسیب‌پذیری نرم‌افزار ورد با شناسه CVE-2015-1641 سوء استفاده کرده و فرآیند دانلود را کامل می‌کنند. جالب آن‌که تعدادی از مولفه‌های دانلود از یک گواهی‌نامه دیجیتالی معتبر که از سوی یک شرکت روسی به نام Bor Port ارائه شده استفاده می‌کنند. پژوهشگران امنیتی اعلام کرده‌اند، هکرها به احتمال زیاد این گواهی‌نامه‌ها را به سرقت برده‌اند. هکرها برای آن‌که مانع از آن شوند که بدافزارها از سوی پژوهشگران امنیتی شناسایی شود از سرویس محافظت از حریم خصوصی WHOIS استفاده کرده‌اند تا امکان شناسایی سرورهای کنترل و فرمان‌دهی امکان‌پذیر نباشد. تحلیل‌ها نشان می‌دهند که پلتفرم، فناوری و کدهایی که همه این بدافزارها از آن‌ها برای آلوده‌سازی ماشین‌ها استفاده می‌کنند به پروژه‌ای به نام Gratem تعلق دارد.

Gratem یک دانلود کننده قدرتمند است که از سال 2014 در اختیار کاربران قرار گرفته است. پژوهشگران امنیتی اعلام داشته‌اند: «به نظر می‌رسد MM Core بخشی از یک سناریو تهدید وسیع است که هنوز تمامی پازل‌های مربوط به آن شناسایی نشده‌اند.»

No tags for this post.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا