نوع جدیدی از باجافزار Troldesh
باجافزاری که خود را از طریق URL وبسایتهای ناامن منتشر میکند
نوع جدیدی از باجافزار Troldesh، طی دو هفته گذشته فعالیتش را دوچندان کرده و خود از طریق وبسایتهای به خطر افتاده توزیع میکند. بازیگران تهدید پخش کننده این بدافزار با ارسال ایمیل و پیام بر روی پلتفرمهای شبکههای اجتماعی، قربانیان را به مراجعه به آدرسهای اینترنتی مخرب ترغیب میکنند.
به گفته محققان امنیتی Sucuri، وقتی کسی روی URL مخرب کلیک کند، بارگذاری پرونده PHP تکمیل میشود و در مرحله بعد، یک فایل جاوا اسکریپت در رایانه قربانی بارگیری میشود. این پرونده جاوا اسکریپت، فرایند دانلود فایل محتوی باجافزار را با آلوده کردن رایانه قربانی، ایجاد میکند.
محققان همچنین اضافه کردند که مهاجمان حداقل از دو URL مخرب موجود در وبسایتهای به خطر افتاده استفاده میکنند، تا در صورت توقف عملکرد یکی از URLها، URL دوم بتواند دنباله اقدامات مخرب را بر عهده بگیرد.
این بدافزار برای هدف قرار دادن سیستمعامل ویندوز مورد استفاده قرار میگیرد، زیرا از فایلهایی با فرمت جاوا اسکریپت استفاده میکند. پروندههای اجرایی بدافزار Troldesh با دقت در رایانه قربانیان ذخیره میشوند. در مرحله اول، اسکریپت اجرایی بدافزار، دایرکتوریهای مهم سیستمعامل ویندوز را اسکن کرده و به دست می آورد. سپس اسکریپت بدافزار یک فهرست راهنما ایجاد می کند تا پرونده های اجرایی مخرب را در رایانه قربانیان ذخیره کند. سپس اسکریپت بدافزار یک دایرکتوری اتفاقی ایجاد میکند تا پروندههای اجرایی مخرب را در رایانه قربانیان ذخیره کند.
در این گزارش محققان اشاره شده است که باجافزار Troldesh تا یک حد مشخصی میتواند خود را در سیستم پرونده ویندوز مخفی نگه دارد. براساس این گزارش، فایل مخرب جاوا اسکریپت که به عنوان میزبان عمل میکند، به میزان 57٪ توسط نرمافزارهای آنتی ویروسی قابل تشخیص است. علاوه بر این، پرونده باجافزار بارگیری شده در رایانه قربانیان 82 درصد تخمین زده شده است.
اگر برنامه آنتیویروس نصب شده بر روی کامپیوتر قربانیان، فایل میزبان مخرب یا پرونده اجرایی باج افزار را شناسایی نکند، باج افزار شروع به رمزگذاری فایلها میکند.
در صورت عدم کارکرد آدرس ایمیل برای ایجاد ارتباط با رایانه قربانی، بازیگر تهدید از onion URL. به عنوان جایگزین برای ایجاد ارتباط با رایانه استفاده میکند. محققان اظهار داشتند که این ویژگی به جدیدترین نوع باج افزار Troldesh اضافه شده است.