بد‌افزاری که رایانه‌های شخصی را به زامبی تبدیل می‌کند

یکی از کمپین‌های تحویل بدافزار که اخیراً مشاهده شده، از تکنیک‌های پیشرفته بدون فیلتر و زیرساخت‌هایی از شبکه گریزان استفاده می‌کند و به آن این امکان را می‌دهد که تا حد زیادی ردیابی نشود.

این کمپین که مایکروسافت از آن به عنوان Nodersok یاد می‌کند، از دو ابزار قانونی که بر روی دستگاه‌های آلوده نصب می‌شود، یعنی Node.exe، اجرای ویندوز با چارچوب محبوب Node.js و WinDivert، ابزاری برای ثبت و دستکاری بسته‌های شبکه، سوءاستفاده می‌کند.

طی چند هفته اخیر، هزاران دستگاه تحت تأثیر این حمله قرار گرفتند که بیشتر آنها در ایالات متحده و اروپا قرار داشتند. به گفته مایکروسافت، حدود 3٪ از سیستم‌های آلوده در سازمان‌ها قرار دارند، و این حمله عمدتاً مصرف کنندگان را هدف قرار داده است.

فرایند حمله، با تحویل یک برنامه HTML آغاز می‌شود که به احتمال زیاد از طریق تبلیغات در معرض خطر قرار گرفته است. این فایل، دانلود کد جاوا اسکریپت اضافی را در دستور کار قرار می‌دهد تا محتوا را از سرور فرمان و کنترل (C&C) بازیابی کرده، و به یک دامنه با نام تصادفی متصل کند. پس از آن، این فایل دانلود شده در تلاش برای ایجاد تماس با دامنه C&C و دانلود یک فایل رمزگذاری شده RC4 و کلید رمزگشایی، خواهد بود.

مایکروسافت می‌گوید، هدف از این حمله، تبدیل ماشین‌های آلوده به پروکسی زامبی است. مهاجمان می‌توانند از این پروکسی‌ها برای دسترسی به وبسایتها، سرورهای C&C و دستگاه‌های تطبیق یافته، سوءاستفاده کنند و فعالیت‌های مخرب را انجام دهند.

از ابزار WinDivert برای رهگیری بسته‌های ارسال شده به منظور شروع اتصال TCP و اصلاح آنها به روشی که احتمالاً برای مهاجمان مفید باشد، استفاده می‌شود.

دستورات و پارامترهای پشتیبانی شده توسط پروتکل C&C استفاده شده در Divergent به آن اجازه می‌دهد تا فرایندی را که آغاز کرده است از بین ببرد و پرونده‌های مربوطه را حذف کند.

این بدافزار همچنین می‌تواند داده‌های پیکربندی را از کلیدهای رجیستری خاصی بیرون بکشد و سپس درخواست‌های اضافی را برای دانلود پرونده‌های مشخص شده ارسال کند، آنها را روی دیسک بنویسد و سپس اجرا نماید.

محققان امنیتی همچنین خاطرنشان كردند كه مهاجمان این حمله می‌توانند از ماشین‌های آلوده برای انجام کلیک‎‌های جعلی استفاده كنند.

مایکروسافت نتیجه می‌گیرد: “هم زیرساخت‌های شبکه توزیع شده و هم تکنیک‌های پیشرفته بدون فیلتر اجازه داده‌اند تا این کمپین برای مدتی در زیر رادار فعال باشد، و تأکید می‌کنند که بهره مندی از فناوری‌های دفاعی مناسب از اهمیت بسیار بالایی برای شناسایی و مقابله به موقع با این حملات برخوردار است.”