تهدیداتخبر

بازگشت دوباره تروجان Ursnif با قابلیت‌های به‌روز شده

محققان در مورد موج جدیدی از حملات که شامل سرقت اطلاعات توسط تروجانی به نام Ursnif است، هشدار می‌دهند. این تروجان از مکانیزم‌های اجرایی PowerShell و Fileless استفاده می‌کند، و همین موضوع شناسایی آن را دشوار‌تر می‌کند. برخی از این حملات باعث استقرار باج افزار GrandCrab نیز شده است.

Ursnif که به نام Dreambot نیز شناخته می‌شود، در ابتدا روی سرقت ایمیل‌ها و اعتبارات بانکی آنلاین از مرورگرها تمرکز کرده بود. با این حال، این تروجان دارای ماژول‌هایی است که قادر است قابلیت‌های خود را گسترش دهد و اخیراً نیز برای استقرار بد‌افزار‌های دیگر مورد استفاده قرار گرفته است.

بررسی پژوهشگران سیسکو تالوس حاکی از آن است که Ursnif فقط کد مخرب را به طور مستقیم در حافظه بارگذاری نمی‌کند، این تروجان همچنین می‌تواند در طول ریبوت و در حالی که Fileless است، مقاوم باقی بماند. این کار با ذخیره سازی یک فرمان PowerShell کدگذاری شده داخل یک کلید ثبت و سپس راه اندازی آن با استفاده از خط فرمان ابزار کنترل ویندوز (WMIC) تحقق می‌یابد.

این بدافزار اطلاعات به سرقت رفته را در فایل‌های CAB بسته‌بندی کرده و آن را با استفاده از اتصالات رمز‌گذاری شده HTTPS برای سرورها فرماندهی و کنترل ارسال می‌کند، و این موضوع، راه حل‌های جلوگیری از نشت داده‌ را جهت ردیابی ترافیک، دشوار می‌کند.


نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

11 − یک =

دکمه بازگشت به بالا
بستن
بستن