اخبار امنیت سایبری

بد‌افزاری که رایانه‌های شخصی را به زامبی تبدیل می‌کند

یکی از کمپین‌های تحویل بدافزار که اخیراً مشاهده شده، از تکنیک‌های پیشرفته بدون فیلتر و زیرساخت‌هایی از شبکه گریزان استفاده می‌کند و به آن این امکان را می‌دهد که تا حد زیادی ردیابی نشود.

این کمپین که مایکروسافت از آن به عنوان Nodersok یاد می‌کند، از دو ابزار قانونی که بر روی دستگاه‌های آلوده نصب می‌شود، یعنی Node.exe، اجرای ویندوز با چارچوب محبوب Node.js و WinDivert، ابزاری برای ثبت و دستکاری بسته‌های شبکه، سوءاستفاده می‌کند.

طی چند هفته اخیر، هزاران دستگاه تحت تأثیر این حمله قرار گرفتند که بیشتر آنها در ایالات متحده و اروپا قرار داشتند. به گفته مایکروسافت، حدود 3٪ از سیستم‌های آلوده در سازمان‌ها قرار دارند، و این حمله عمدتاً مصرف کنندگان را هدف قرار داده است.

فرایند حمله، با تحویل یک برنامه HTML آغاز می‌شود که به احتمال زیاد از طریق تبلیغات در معرض خطر قرار گرفته است. این فایل، دانلود کد جاوا اسکریپت اضافی را در دستور کار قرار می‌دهد تا محتوا را از سرور فرمان و کنترل (C&C) بازیابی کرده، و به یک دامنه با نام تصادفی متصل کند. پس از آن، این فایل دانلود شده در تلاش برای ایجاد تماس با دامنه C&C و دانلود یک فایل رمزگذاری شده RC4 و کلید رمزگشایی، خواهد بود.

مایکروسافت می‌گوید، هدف از این حمله، تبدیل ماشین‌های آلوده به پروکسی زامبی است. مهاجمان می‌توانند از این پروکسی‌ها برای دسترسی به وبسایتها، سرورهای C&C و دستگاه‌های تطبیق یافته، سوءاستفاده کنند و فعالیت‌های مخرب را انجام دهند.

از ابزار WinDivert برای رهگیری بسته‌های ارسال شده به منظور شروع اتصال TCP و اصلاح آنها به روشی که احتمالاً برای مهاجمان مفید باشد، استفاده می‌شود.

دستورات و پارامترهای پشتیبانی شده توسط پروتکل C&C استفاده شده در Divergent به آن اجازه می‌دهد تا فرایندی را که آغاز کرده است از بین ببرد و پرونده‌های مربوطه را حذف کند.

این بدافزار همچنین می‌تواند داده‌های پیکربندی را از کلیدهای رجیستری خاصی بیرون بکشد و سپس درخواست‌های اضافی را برای دانلود پرونده‌های مشخص شده ارسال کند، آنها را روی دیسک بنویسد و سپس اجرا نماید.

محققان امنیتی همچنین خاطرنشان كردند كه مهاجمان این حمله می‌توانند از ماشین‌های آلوده برای انجام کلیک‎‌های جعلی استفاده كنند.

مایکروسافت نتیجه می‌گیرد: “هم زیرساخت‌های شبکه توزیع شده و هم تکنیک‌های پیشرفته بدون فیلتر اجازه داده‌اند تا این کمپین برای مدتی در زیر رادار فعال باشد، و تأکید می‌کنند که بهره مندی از فناوری‌های دفاعی مناسب از اهمیت بسیار بالایی برای شناسایی و مقابله به موقع با این حملات برخوردار است.”

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
سبد خرید
  • هیچ محصولی در سبدخرید نیست.
ورود | ثبت نام
شماره موبایل یا پست الکترونیک خود را وارد کنید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
درخواست بازیابی رمز عبور
لطفاً پست الکترونیک یا موبایل خود را وارد نمایید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
ایمیل بازیابی ارسال شد!
لطفاً به صندوق الکترونیکی خود مراجعه کرده و بر روی لینک ارسال شده کلیک نمایید.
تغییر رمز عبور
یک رمز عبور برای اکانت خود تنظیم کنید
تغییر رمز با موفقیت انجام شد
0