ظهور باجافزارها؛ از «شاهزاده خانم» تا «پول زور»! گروه IT اخیراً باجافزارها و بدافزارها در فضای وب و یا حتی شبکههای داخلی به گسترش شگرفی رسیدهاند؛ از این جهت که مرکز مدیریت راهبردی افتا (وابسته به ریاست جمهوری) ناچاراً چندین هشدار در روز در رابطه با همین باجافزارها منتشر میکند. در ادامه ۳ نوع باجافزار […]
ظهور باجافزارها؛ از «شاهزاده خانم» تا «پول زور»!
گروه IT
اخیراً باجافزارها و بدافزارها در فضای وب و یا حتی شبکههای داخلی به گسترش شگرفی رسیدهاند؛ از این جهت که مرکز مدیریت راهبردی افتا (وابسته به ریاست جمهوری) ناچاراً چندین هشدار در روز در رابطه با همین باجافزارها منتشر میکند.
در ادامه ۳ نوع باجافزار و بدافزار که از قضا یکی از آنها ماهیت کاملاً ایرانی دارد را بررسی میکنیم.
معرفی شاهزاده خانم!
پژوهشگران TrendMicro از تاریخ ۲۵ جولای در حال بررسی اکسپلویت کیت RIG هستند که یک بدافزار کاوشگر ارز دیجیتالی و باجافزار GandCrab را منتقل میکند.
در اول آگوست مشاهده شد که اکسپلویت کیت RIG یک باجافزار ناشناخته را نیز ارسال میکند. پس از بررسی صفحه پرداخت این باجافزار در شبکه Tor، مشخص شد که نام آن Princess Evolution است و به نظر میرسد که نسخه تکاملیافته باجافزار Princess Locker است که در سال ۲۰۱۶ نمایان شد. با توجه به تبلیغاتی که از این باجافزار در فرومهای زیرزمینی انجام شده است، به نظر میرسد که Princess Evolution به صورت RaaS یا ارایه باجافزار در قالب سرویس حمله میکند.
نحوه کارکرد شاهزاده!
متن درخواست مبلغ باج Princess Evolution مشابه متن Princess Locker است.
فایلهای روی سیستم را رمزگذاری میکند و پسوند آنها را به یک رشته تصادفی تغییر میدهد. پس از رمزگذاری، باجافزار مبلغ ۰,۱۲ بیتکوین (حدود ۷۰۰ دلار) را برای بازیابی فایل درخواست میکند. همچنین در فرومهای زیرزمینی در تاریخ ۳۱ جولای مشاهده شده است که نویسنده باجافزار ۴۰ درصد مبلغ باج دریافت شده از قربانیان را به عنوان کمیسیون تعیین کرده است.
در فرایند رمزگذاری، بخش ابتدایی فایل توسط الگوریتمهای XOR و AES و باقی داده فایل توسط AES رمزگذاری میشود.
به جای پروتکل HTTP POST از UDP برای برقراری ارتباط با سرور C&C استفاده میکند و از طریق UDP یک کلید XOR تصادفی را به همراه اطلاعات زیر به بازه شبکه خاصی ارسال میکند:
* نامکاربری رایانه آلوده
* نام رابط شبکه فعال
* LCID سیستم
* نسخه سیستمعامل
* شناسه قربانی
* نرمافزار امنیتی ثبت شده در ویندوز
* زمانی که برنامه اجرا شده است
حملات گروه DarkHydrus در خاورمیانه
نهادهای دولتی و مؤسسات علمی مستقر در منطقه خاورمیانه تحت حملاتی توسط گروه DarkHyrus به منظور جمعآوری اطلاعات احراز هویت هستند. این گروه درحال استفاده از ابزار منبعباز Phishery است.
نحوه قربانی گروه سیاه
براساس پژوهش گروه unit 42، این حملات از الگو خوبی پیروی میکنند. آنها از ایمیلهای فیشینگ با اسناد آفیس در پیوست استفاده میکنند که از تکنیک Attached Template برای بارگیری یک قالب از سرور از راه دور بهره میبرند. هنگام بارگیری این قالب از راه دور، برنامه آفیس صفحهای را نمایش میدهد که از کاربر اطلاعات ورود را دریافت میکند. پس از آن، اطلاعات احرازهویت وارد شده به سرور C&C ارسال میشوند و DarkHydrus اطلاعات ورود حساب کاربر را دریافت میکند. ساخت این اسناد Word و تزریق آدرس URL قالب از راه دور از طریق ابزار Phishery انجام میشود.
سوابق حمله به خارمیانه
هفته گذشته نیز گروه پژوهش unit 42 حملات فیشینگ متفاوتی را روی نهادهای دولتی خاورمیانه مشاهده کرد که یک بدنه PowerShell با نام RogueRobin به قربانیان منتقل میکرد. در این حملات از فایلهای Excel Web Query استفاده شده است.
این ابزار منبع باز به DarkHydrus نسبت داده شده است. از این رو، مشخص میشود که DarkHydrus برای انجام عملیات خویش، بر ابزارهای منبع باز اتکا میکند. برای قانونی نشان دادن صفحه باز شده به منظور دریافت اطلاعات احرازهویت، از نام دامنه Outlook در بالای صفحه ورود اطلاعات استفاده شده است.
اسناد آفیس مشابه که در حملات فیشینگ استفاده شده است، در سپتامبر و نوامبر ۲۰۱۷ نیز مشاهده شده است. زیرساختهای استفاده شده در این حملات نیز به آدرس IP مربوط به DarkHydrus منتهی میشوند. این موارد نشان میدهند که حملات جمعآوری اطلاعات احراز هویت گروه DarkHydrus از یک سال گذشته در حال انجام بودهاند.
پول زور بده!
اما مهمترین باج افزار: به تازگی باجافزار جدیدی با نام PooleZoor کشف شده است که فایلهای قربانی را با استاندارد AES رمزگذاری میکند و برای بازیابی فایلهای از دسترفته، مبلغ ۱۰ میلیون ریال درخواست میکند. پس از رمزگذاری، پسوند .poolezoor به فایلهای قربانی اضافه شده و آنها رمزگذاری میشوند.
نکته قابل توجه در این باجافزار، نحوه پرداخت است که مهاجم یک آدرس فیشینگ مربوط به درگاه پرداخت شاپرک را ارایه میکند (http[: ]//sep.shapaarak[.]cf). از این رو هیچ پرداختی انجام نخواهد شد و مشخص است که هدف اصلی مهاجم دریافت اطلاعات کارت و حساب بانکی قربانی است.
این باجافزار از طریق پیکربندی محافظتنشده RDP، ایمیلهای اسپم و پیوستهای مشکوک، فایلهای دانلودی، باتنتها، اکسپلویتهای موجود، تزریق وب، به روزرسانیهای جعلی و فایلهای نصبی آلوده ممکن است منتشر شده باشد. باجافزار فایلهای اسناد آفیس، OpenOffice، PDF، فایلهای متنی، پایگاههای داده، فایلهای رسانهای تصویر، موسیقی و ویدئو، فایلهای فشرده و… را رمزگذاری میکند.
توصیه میشود به هیچ عنوان به آدرس پرداخت باج مراجعه نشود و از آنتیویروسهای معتبر برای جلوگیری از نفوذ و یا پاکسازی آن استفاده شود.
این مطلب بدون برچسب می باشد.
دیدگاه بسته شده است.