کمپین نرم‌افزاری آلوده به بدافزار GoldenSpy

محققان امنیتی متوجه شده اند، مهاجمان سایبری با انتشار بدافزار GoldenSpy از طریق یک نرم‌افزار حسابداری مالیاتی که مشتریان یک بانک چینی از آن استفاده می کنند، سعی در شناسایی درب های پشتی موجود در سیستم‌های رایانه ای کاربران داشته اند. ظاهراً این گروه مجرمانه، چنین اقدامی را به عنوان سرپوشی برای سایر فعالیت‌های خرابکارانه خود انجام می داده است.

محققان شرکت Trustwave، در بررسی های خود پی به وجود این ضعف امنیتی در نرم‌افزار مالیاتی Intelligent Tax که توسط یک شرکت چینی تولید شده است، شده اند. این شرکت، در پست جدید خود گزارش داده که متوجه انتشار یک فایل حذف کننده (uninstaller) به نام AWX.exe در این نرم افزار حسابداری شده است.

به گفته شرکت Trustwave، هدف از این فایل، حذف تمام شواهدی است که نشان دهنده وجود GoldenSpy از جمله فایل‌ها، پوشه‌ها و کلیدهای رجیستری ویندوز. در سیستم آلوده بوده است. در نهایت، خود این فایل حذف هم به صورت خودکار، قابلیت پاک سازی از روی سیستم های کاربران را داشته است.

Brian Hussey نویسنده این مطلب که مدیر تشخیص و واکنش به تهدیدهای سایبری شرکت Trustwave است، گفته است: «در آزمون‌های ما فایل حذف GoldenSpy، به صورت خودکار دانلود و حذف شده است. انتشار این فایل حذف که به صورت مستقیم از طریق یک نرم‌افزار مالیاتی به ظاهر معتبر و مجاز دانلود و نصب می‌شود، باعث شده که کاربران نگران دانلود و اجرای بدافزارهای دیگری به صورت مشابه باشند».

او همچنین گفته که: «هر چند تیم تحقیقاتی ما از تحقیق ها و تحلیل‌های انجام شده بر روی GoldenSpy که موجب برطرف سازی سریعتر این مخاطره شد، استقبال می‌کند اما مطمئن نیستیم که این پیشرفت جدید بتواند باعث کاهش فعالیت‌های مجرمان شود. این حمله یک خطر واضح و پایدار است که توسط افرادی بسیار هوشمند و مبتکر طراحی و اجرا شده است».

بر اساس گزارشی که اول تیرماه 99 منتشر شد، شرکت Trustwave نسخه دومی از این فایل حذفی را شناسایی کرده است که دارای قابلیت هایی برای مبهم سازی متغیرهای خود آن هم با روش کدگذاری Base64 بوده است. مهاجمان از این روش احتمالاً برای جلوگیری از شناسایی بدافزار GoldenSpy توسط سیستم‌های امنیتی و نرم افزارهای ضدویروس استفاده کرده اند.

منبع: scmagazine