صفحه نخست دانش و فن آوری اطلاعات
  • انتشار : 8 - اسفند - 1395 - ۱۲:۵۲
  • کد خبر : 22217

    • جزییات سرقت داده‌ها توسط فایل Word پیوست شده به ایمیل!

    جزییات سرقت داده‌ها توسط فایل Word پیوست شده به ایمیل! بدافزار هنکیتور که به صورت یک سند ورد آلوده و عمدتاً با استفاده از پیوست کردن این فایل به پیام‌های پست الکترونیکی منتشر می‌شود، نسخه‌های متفاوتی دارد که از طریق ضمیمه‌های فایل مخرب انتشار می‌یابد و بدافزارهای ویژه سرقت داده‌ها را منتشر می‌کند. به گزارش […]

  • انتشار : 8 - اسفند - 1395 - ۱۲:۵۲
  • کد خبر : 22217

    • جزییات سرقت داده‌ها توسط فایل Word پیوست شده به ایمیل!

    بدافزار هنکیتور که به صورت یک سند ورد آلوده و عمدتاً با استفاده از پیوست کردن این فایل به پیام‌های پست الکترونیکی منتشر می‌شود، نسخه‌های متفاوتی دارد که از طریق ضمیمه‌های فایل مخرب انتشار می‌یابد و بدافزارهای ویژه سرقت داده‌ها را منتشر می‌کند.

    به گزارش ایسنا، بدافزار هنکیتور (Hancitor) با دیگر نام‌های Chanitor یا TorDal یک بدافزار از نوع دانلودر است. دانلودر‌ها پس از استقرار در سیستم قربانی، با سرورهای C2 خود تماس برقرار کرده و تروجان‌ها، بات‌‌ها و دیگر انواع بدافزار را دانلود و نصب می‌کنند.

    همان‌طور که در گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای‌ رایانه‌ای) آمده است، در ماه می، محققان Proofpoint اعلام کردند که ظهور مجدد هنیکتور را مشاهده کردند.

    این دانلودر خاص ۳ قابلیت اساسی دارد: دانلود فایل exe از یک url و اجرای آن، دانلود یک DLL از یک url و اجرای آن بدون نوشتن آن روی دیسک و در عوض نوشتن آن مستقیماً برروی فضای حافظه دانلودر، حذف خود دانلودر.

    هر یک از این دستورات ممکن است پس ارسال یک درخواست به سرور C2 از طرف دانلودر، دریافت شوند. این درخواست شامل اطلاعات شناسایی منحصربه‌فرد قربانی است و مهاجم را قادر می‌کند تا به سادگی قربانیان را کنترل کند.

    سناریوی آلودگی

    دانلودر هنکیتور تا زمان فعالیت کمپین اصلی در ژوئن ۲۱۱۲، تقریباً فعالیتی نداشته اما طی هفته‌های اخیر، در زمان انجام تحقیقات افزایش چشمگیری در ارسال خانواده بدافزار هنکیتور مشاهده شده است.

    در عین حال، گزارش‌هایی از دیگر شرکت‌ها و محققان امنیتی مبنی بر فعالیت مشابه دریافت شده است. این بدافزار دانلودر، از طریق ضمیمه‌های فایل مخرب انتشار می‌یابد و بدافزارهای ویژه سرقت داده‌ها (مانند Pony و Vawtrak) را منتشر می‌کند.

    البته به گفته محققان، شیوه‌ تحویل داده‌های واقعی (Payload) بدافزار هنکیتور با نسخه‌های قبلی آن متفاوت است.

    جالب‌‌ترین تکنیک مربوط به توانایی بدافزار هنکیتور برای پنهان کردن فرمان‌های مخرب PowerShell است. به گفته محققان، زمانی که کاربر ماکرو‌ها را فعال کند، درواقع راهی برای ایجاد فرمان PowerShell باز خواهد کرد.

    این بدافزار قطعات کد را برای سرهم‌بندی و تولید فرمان ترکیب می‌کند. بنا بر ادعای این محققان، هکر‌ها از اندازه فونت بسیار کوچک «۱» برای پنهان کردن متن PowerShell استفاده می‌کنند که تشخیص آن را بسیار دشوار می‌کند.

    تشابهات بدافزار هنکیتور با دیگر بدافزارها

    در ماه می، اندکی پس از این‌که هنکیتور برای اولین مرتبه بروز شد، Ruckguv در حال دانلود Vawtrak مشاهده شد. آخرین مرتبه‌ای که این دانلودر مشاهده شد، در دسامبر ۲۰۱۱ بود که بار مفید Crytowall را بارگذاری می‌کرد.

    از آخرین مرتبه‌ای که دانلودر در داده‌های ProofPoint مشاهده شده، Ruckguv نیز تغییرات اساسی کرده و به‌روز شده است. تغییرات قابل توجه و خصوصیات جدید بدافزار عبارتند از این‌که بار مفید دانلودشده در سیستم به جای ۳ نام فایل، با یک نام فایل احتمالی نوشته شده و قابلیت دانلود و اجرای DLL به نام Pony به عنوان یک ماژول فراهم شده است.

     

    این بدافزار به صورت یک سند ورد آلوده و عمدتاً با استفاده از پیوست کردن این فایل به پیام‌های پست الکترونیکی منتشر می‌شود. شواهد و بررسی‌ها نشان می‌دهد که بدافزار هنکیتور نسخه‌های متفاوتی دارد که هر یک تفاوت کمی با دیگری دارد اما روال کلی کار آنها مشابه یکدیگر است. این بدافزار دانلودر، از طریق ضمیمه‌های فایل مخرب انتشار می‌یابد و بدافزارهای ویژه سرقت داده‌ها (مانند Pony و Vawtrak) را منتشر می‌کند.

    برچسب ها

    این مطلب بدون برچسب می باشد.