بدافزاری که رایانههای شخصی را به زامبی تبدیل میکند
یکی از کمپینهای تحویل بدافزار که اخیراً مشاهده شده، از تکنیکهای پیشرفته بدون فیلتر و زیرساختهایی از شبکه گریزان استفاده میکند و به آن این امکان را میدهد که تا حد زیادی ردیابی نشود.
این کمپین که مایکروسافت از آن به عنوان Nodersok یاد میکند، از دو ابزار قانونی که بر روی دستگاههای آلوده نصب میشود، یعنی Node.exe، اجرای ویندوز با چارچوب محبوب Node.js و WinDivert، ابزاری برای ثبت و دستکاری بستههای شبکه، سوءاستفاده میکند.
طی چند هفته اخیر، هزاران دستگاه تحت تأثیر این حمله قرار گرفتند که بیشتر آنها در ایالات متحده و اروپا قرار داشتند. به گفته مایکروسافت، حدود 3٪ از سیستمهای آلوده در سازمانها قرار دارند، و این حمله عمدتاً مصرف کنندگان را هدف قرار داده است.
فرایند حمله، با تحویل یک برنامه HTML آغاز میشود که به احتمال زیاد از طریق تبلیغات در معرض خطر قرار گرفته است. این فایل، دانلود کد جاوا اسکریپت اضافی را در دستور کار قرار میدهد تا محتوا را از سرور فرمان و کنترل (C&C) بازیابی کرده، و به یک دامنه با نام تصادفی متصل کند. پس از آن، این فایل دانلود شده در تلاش برای ایجاد تماس با دامنه C&C و دانلود یک فایل رمزگذاری شده RC4 و کلید رمزگشایی، خواهد بود.
مایکروسافت میگوید، هدف از این حمله، تبدیل ماشینهای آلوده به پروکسی زامبی است. مهاجمان میتوانند از این پروکسیها برای دسترسی به وبسایتها، سرورهای C&C و دستگاههای تطبیق یافته، سوءاستفاده کنند و فعالیتهای مخرب را انجام دهند.
از ابزار WinDivert برای رهگیری بستههای ارسال شده به منظور شروع اتصال TCP و اصلاح آنها به روشی که احتمالاً برای مهاجمان مفید باشد، استفاده میشود.
دستورات و پارامترهای پشتیبانی شده توسط پروتکل C&C استفاده شده در Divergent به آن اجازه میدهد تا فرایندی را که آغاز کرده است از بین ببرد و پروندههای مربوطه را حذف کند.
این بدافزار همچنین میتواند دادههای پیکربندی را از کلیدهای رجیستری خاصی بیرون بکشد و سپس درخواستهای اضافی را برای دانلود پروندههای مشخص شده ارسال کند، آنها را روی دیسک بنویسد و سپس اجرا نماید.
محققان امنیتی همچنین خاطرنشان كردند كه مهاجمان این حمله میتوانند از ماشینهای آلوده برای انجام کلیکهای جعلی استفاده كنند.
مایکروسافت نتیجه میگیرد: “هم زیرساختهای شبکه توزیع شده و هم تکنیکهای پیشرفته بدون فیلتر اجازه دادهاند تا این کمپین برای مدتی در زیر رادار فعال باشد، و تأکید میکنند که بهره مندی از فناوریهای دفاعی مناسب از اهمیت بسیار بالایی برای شناسایی و مقابله به موقع با این حملات برخوردار است.”