بد‌افزاری که به شیوه‌های مختلف سیستم‌های مجهز به ویندوز را آلوده می‌کند

پژوهشگران ترند مایکرو (Trend Micro) بد‌افزاری را شناسایی کرده‌اند که به صورت تروجان از روش‌های متعددی برای دسترسی به سیستم‌ها استفاده می‌کند. دسترسی به گذرواژه‌های ضعیف با استفاده از تکنیک هش، ابزارهای مدیریت ویندوز و حملات جستجوی فراگیر از جمله این موارد است. این بدافزار همچنین از اکسپلویت اترنال بلو (EternalBlue) و پاورل‌شل (PowerShell) برای فرار از تشخیص و انتشار در سرتاسر شبکه استفاده می‌کند.

روش اولیه انتشار بدافزار شامل استفاده از اعتبار ضعیف است. زمانی که دستگاهی آلوده می‌شود، تروجان یک آدرس MAC را در‌خواست کرده و لیستی از محصولات آنتی‌ویروس نصب شده روی دیوایس را جمع آوری می‌کند. سپس یک کد مبهم‌سازی پاور‌شل دیگر با نام Trojan.PS1.PCASTLE.B را از سرور C2 دانلود می‌کند. پاورشل دانلود شده مسئول دانلود و اجرای مولفه بد‌افزار است.

مولفه سوم جاسوس‌افزاری است که با شناسه TrojanSpy.Win32.BEAHNY.THCACAI ردیابی شده است. این تروجان قادر است اطلاعات سیستم از جمله نام کامپیوتر، GUID، نسخه OS، اطلاعات حافظه گرافیک و زمان سیستم را جمع‌آوری کند.مولفه چهارم به تکثیر هر چه بیشتر بد افزار کمک می‌کند. بدافزار با استفاده از گذرواژه ضعیف SQL سعی می‌کند به سرورهای پایگاه داده آسیب‌پذیر دسترسی پیدا کرده و دستورات پوسته (Shell) را اجرا کند. پژوهشگران دریافتند که این بد‌افزار پیچیده به طور خاص برای آلوده کردن تعداد زیادی از ماشین‌ها طراحی شده است، بدون اینکه امکان شناسایی سریع آن وجود داشته باشد. با در نظر گرفتن محبوبیت فزاینده پاورشل و عمومی شدن بیش از پیش کده‌های منبع باز، می‌توانیم در آینده شاهد بد‌افزار‌های پیچیده‌‌تری از این دست باشیم.