بدافزاری که دارد به تهدیدی بزرگ تبدیل می‌شود

دو نگارش جدید در سال 2017

اما پژوهشگران به تازگی دو نسخه جدید از این بدافزار به نام‌های BigBoss و SillyGoose را شناسایی کرده‌اند. نسخه BigBoss کار خود را از سال 2015 میلادی آغاز کرده و sillyGoose از سپتامبر 2016 (شهریورماه) کار خود را آغاز کرده است. نسخه‌های جدید کاربرانی که در آفریقا و ایالات متحده ساکن هستند را به عنوان اهداف خود انتخاب کرده‌اند. این دو بدافزار سایت‌های خبری، دولتی، صنایع نفت/گاز و مخابرات را به عنوان اهداف خود برگزیده است. این دو نسخه دقیقا همان درب پشتی که دو نگارش قبلی روی ماشین‌های قربانی‌ها نصب می‌کردند را با نام متفاوت قرار می‌دهند.

این دو بدافزار از آسیب‌پذیری نرم‌افزار ورد با شناسه CVE-2015-1641 سوء استفاده کرده و فرآیند دانلود را کامل می‌کنند. جالب آن‌که تعدادی از مولفه‌های دانلود از یک گواهی‌نامه دیجیتالی معتبر که از سوی یک شرکت روسی به نام Bor Port ارائه شده استفاده می‌کنند. پژوهشگران امنیتی اعلام کرده‌اند، هکرها به احتمال زیاد این گواهی‌نامه‌ها را به سرقت برده‌اند. هکرها برای آن‌که مانع از آن شوند که بدافزارها از سوی پژوهشگران امنیتی شناسایی شود از سرویس محافظت از حریم خصوصی WHOIS استفاده کرده‌اند تا امکان شناسایی سرورهای کنترل و فرمان‌دهی امکان‌پذیر نباشد. تحلیل‌ها نشان می‌دهند که پلتفرم، فناوری و کدهایی که همه این بدافزارها از آن‌ها برای آلوده‌سازی ماشین‌ها استفاده می‌کنند به پروژه‌ای به نام Gratem تعلق دارد.

Gratem یک دانلود کننده قدرتمند است که از سال 2014 در اختیار کاربران قرار گرفته است. پژوهشگران امنیتی اعلام داشته‌اند: «به نظر می‌رسد MM Core بخشی از یک سناریو تهدید وسیع است که هنوز تمامی پازل‌های مربوط به آن شناسایی نشده‌اند.»