پویش جدیدِ تروجان Adwind بسترهای ویندوز، macOS و لینوکس را هدف قرار داده است

 

محققان امنیتی نمونه‌ی جدیدی از تروجان مدیریتی راه دور Adwind را در پویشی جدید مشاهده کرده‌اند. این تروجان تلاش می‌کند در سیستم‌های ویندوز، macOS و لینوکس به سازوکار پایداری برسد. در این حملات از نسخه‌ی Adwind 3.0 استفاده شده و تروجان از حمله‌ی تزریق کد DDE در مایکروسافت اکسل بهره می‌برد. این پویش از ۲۶ آگوست شروع شده و عمدتا کاربران در ترکیه را هدف قرار داده و ۷۵ درصد از درخواست‌ها از این کشور است. هرچند برخی از قربانیان نیز در آلمان قرار دارند. هرزنامه‌ای که بار داده‌ی مخرب در آن ضمیمه شده، به زبان ترکیه‌ای نوشته شده است. 


مهاجمان برای نصب بار داده‌ی مخرب، حداقل از دو نصب‌کننده در قالب‌های CSV و XLT استفاده کرده‌اند. با این حال هر دوی آن‌ها از یک نوع حمله‌ی جدید تزریق کد DDE استفاده می‌کنند که یکی از آن‌ها تاکنون ناشناخته باقی بوده است. محققان اعلام کردند نصب‌کننده‌های بدافزار می‌توانند در قالب ۳۰ پسوند مختلف ارائه شوند. هرچند ممکن است برخی از این پسوندها به‌طور مستقیم با مایکروسافت اکسل باز نشود ولی اسکریپت‌هایی وجود دارد که به‌طور پیش‌فرض اکسل را برای اجرای این حمله راه‌اندازی می‌کنند.


اکسل به کاربر هشدار اجرای کد را نمایش می‌دهد. این هشدار به کاربر اطلاع می‌دهد که فایل موردنظر یک سند XLT واقعی نبوده و خراب است و در مورد باز کردن آن سوال می‌کند. دو هشدار دیگر به کاربر اطلاع می‌دهد که این سند برنامه‌های سیستمی را اجرا خواهد کرد. اگر کاربر هر ۳ هشدار را قبول کند، برنامه‌ی ماشین حساب اجرا خواهد شد. هدف این پویش تزریق کدی است که بتواند یک اسکریپت ویژوال بیسیک را اجرا کند. پس از اجرای این اسکریپت نیز هدف نصب یکی از ابزارهای مایکروسافت با نام bitasdmin برای بارگذاری و نظارت بر پردازه‌ها برای واکشیِ بار داده‌ی نهایی است. 


بار داده‌ی نهایی یک فایل آرشیو جاوا است که با استفاده از Allatori Obfuscator نسخه‌ی ۴٫۷ بسته‌بندی شده است. این بدافزار Adwind RAT v3.0 است که برای ایجاد سازوکاری برای ماندگاری در بسترهای ویندوز، macOS و لینوکس طراحی و پیکربندی شده است. گفتنی است ایجاد ماندگاری در بسترهای مختلف، متفاوت است. این تروجان توسط گروه‌های نفوذ مختلفی مورد استفاده قرار گرفته و برای اجرای هر نوع دستوری بر روی سیستم قربانی مانند کی‌لاگر بودن، اسکرین‌شات گرفتن و انتقال فایل به کار می‌رود. 

 

منبع

پست‌های مشابه

Leave a Comment