.png "عصر ایران")
۰۳ آذر ۱۴۰۳
به روز شده در: ۰۳ آذر ۱۴۰۳ - ۰۰:۱۰
رژیم غذایی مناسب برای بهبود زخم معده (فیلم) تروجانی که آنتیویروس ها را دور میزند
یک عملیات اسپمی در حال انتشار یک تروجان با دسترسی از راه دور (RAT) است که از چندین روش برای فریب دادن ضدویروسهای مبتنی بر امضا استفاده میکند.
این RAT که با نام Adwind شناخته میشود، پیشتر صنایع مختلفی را در جهان مورد هدف قرار داده است. این تروجان اکنون مجهز به toolkit جدیدی است تا بتواند از سیستمها سوءاستفاده کند.
به گزارش ایسنا، تروجان توسط Cisco Talos و ReversingLabs مورد بررسی قرار گرفته است. این تروجان همچنین با نامهای AlienSpy، JSocket و jRat نیز شناخته میشود و دارای قابلیتهای زیادی است. تروجان قادر به جمعآوری اطلاعات رایانه و کلیدهای فشرده شده توسط کاربر است، همچنین اطلاعات احراز هویت و اطلاعات ارسال شده از طریق فرمهای وب را نیز به سرقت میبرد.
بدافزار قادر به ضبط ویدئو، صدا و گرفتن تصاویر اسکرینشات نیز است. علاوه بر این، تروجان میتواند فایلهای سیستم را بدون اطلاع کاربر منتقل کند. در نسخههای جدیدتر این تروجان، تلاش برای سرقت کلیدهای رمزنگاری برای دسترسی به کیف پول مجازی در سیستمهای آلوده نیز انجام میشود.
تروجان ابتدا از طریق عملیات فیشینگ منتقل میشود و سپس بدنه مخرب که بصورت فایل JAR است را بارگیری میکند و پس از اجرا به سرور کنترل و فرمان (C&C) متصل میشود و بدنههای بیشتر را بارگیری میکند تا دادههای سیستم آلوده را به سرقت ببرد.
این بدافزار در گذشته با حداقل ۴۰۰ هزار حمله علیه کسبوکارها در امور مالی، تولید، حمل و نقل و صنعت مخابرات مرتبط بوده است. در حملات اسپمی جدید که در ماه آگوست مشاهده شده است، از Adwind ۳,۰ که آخرین نسخه آن است استفاده شد. در این حملات سیستمهای ویندوز، لینوکس و مک مورد هدف قرار گرفتند.
همچنین در حملات از روش تزریق کد DDE برای نفوذ به اکسل و دور زدن برنامههای ضد ویروس مبتنی بر امضا بهرهبرداری شده است. در عملیات فیشینگ پیامهای مخرب حاوی فایلهای CSV و XLT (هر دو به صورت پیشفرض با نرمافزار اکسل باز میشوند) ارسال میشوند. فایلهای مخرب دارای یک یا دو dropper هستند که از تزریق DDE بهره میبرند. dropper از پسوندهای مختلفی از جمله htm، xlt، xlc و db استفاده میکند.
پژوهشگران Cisco Talos میگویند که تکنیک جدیدی برای مبهمسازی در حملات استفاده شده است که از طریق آن بخش اول فایل بدون سرایند است و برنامههای ضدویروس را به اشتباه میاندازد. در واقع ضد ویروس به جای تشخیص فایل مخرب به عنوان یک dropper، آن را به عنوان یک فایل خراب تشخیص میدهد.
کد مخرب یک اسکریپت Visual Basic را ایجاد میکند که از bitasdmin بهره میبرد. ابزار bitasdmin نرمافزار قانونی مایکروسافت است که یک ابزار مبتنی بر خط فرمان (command-line) برای ایجاد، بارگیری یا بارگذاری فعالیتها و نظارت بر فرایند پردازشی آنهاست. در کد مخرب از این ابزار برای بارگیری بدنه نهایی که یک فایل Java دارای بسته Allatori Obfuscator است، سوء استفاده شده است. این بسته در ادامه از حالت فشرده خارج میشود و تروجان Adwind را پیادهسازی میکند.
نظرات کاربران
لینک کوتاه: کپی لینک
این کیبورد عجیب، نمایشگری لمسی است که بهعنوان مانیتور هم کاربرد دارد! (+عکس) داستان چشم آقای داوینچی! گلادیاتورهای چپدست چگونه آموزش میدیدند؟ معماری متفاوت خانهای در «سبزوار» که برنده جشنواره جهانی معماری شد(+عکس) علایم ابتلا به اختلال اضطراب فراگیر را بشناسید طرز تهیه رب نارنج شمالی /چگونه از تلخ شدن رب جلوگیری کنیم؟ بهترین خانۀ استرالیا در سال 2024؛ یک شاهکار «حیاطمرکزی» روی تپه(+عکس) ۵ نیروی هوایی کوچک در جنگ جهانی دوم که کسی در مورد آن ها چیزی نمی گوید(+عکس) معرفی بهترین تک تیراندازان جهان؛ زنان و مردان برجسته تاریخ در میدان نبرد را بشناسید(+عکس) طراحی استثنایی خانهای «قلعهمانند» در دماوند که برندۀ جایزه معماری شد(+عکس) تصویربرداری پیشرفته از «قرآن آبی» یک متن پنهان را آشکار کرد(+عکس) این خانه تاریخی را مارکوف و لرزاده ساختند (+عکس) از گنبد نیویورک تا برلین چندطبقه/ آرمانشهر در مقابل واقعیت در گوشی غرق میشوید و کنترل زمان را از دست میدهید؟ اندروید به کمک شما میآید بهترین خانۀ ایران در سال 1396؛ مینیمالیسم در دشتهای استان گلستان(+عکس)
اخبار و تحلیل های ترکیه