کرم جدید از درایوهای قابل‌حمل برای توزیع درب پشتی BLADABINDI استفاده می‌کند!

کرم جدید از درایوهای قابل‌حمل برای توزیع درب پشتی BLADABINDI استفاده می‌کند!

پنج شنبه, ۸ آذر, ۱۳۹۷ ساعت ۱۱:۱۵

 

کرم جدیدی که در اواسط ماه نوامبر توسط محققان ترندمیکرو کشف شد و در حال حاضر با شناسه‌ی Worm.Win32.BLADABINDI.AA ردیابی می‌شود، از درایوهای قابل‌حمل برای توزیع درب پشتی BLADABINDI که نوعی از بدافزارهای بدون‌فایل است، استفاده می‌کند. از آن‌جایی که این کرم خود را به‌صورت پنهان بر روی هر درایو قابل‌حمل متصل به سیستم آلوده نصب می‌کند، محققان ترندمیکرو احتمال می‌دهند که ممکن است به‌وسیله‌ی درایوهای قابل‌حمل به یک سیستم وارد شده و انتشار یابد. 


همچنین محققان متوجه شدند که این کرم از نرم‌افزار برنامه‌نویسی AutoIt برای کامپایل بار داده و اسکریپت اصلی به یک فایل اجرایی استفاده کرده است که شناسایی آن را پیچیده‌تر می‌کند. به کمک دی‌کامپایلر اسکریپت AutoIt، محققان دریافتند که این کرم از یک ثبت‌نام خوداجراشونده برای بارگذاری فایل اجرایی رمزنگاری شده از حافظه و به‌عنوان یک تهدید بدون‌فایل به کمک پاورشل استفاده می‎کند.


فایل اجرایی بارگذاری‌شده، نوعی از درب پشتی BLADABINDI است که از پورت ۱۱۷۷ برای اتصال به سرور دستور و کنترل (C&C) خود در آدرس water-boom[.]duckdns[.]org استفاده می‌کند. این نشانی وب با استفاده از یک سیستم نام دامنه (DNS) پویا به مهاجمان اجازه می‌دهد تا نشانی پروتکل اینترنتی خود را تغییر داده و یا به‌روز کنند. پس از ایجاد یک فایروال به کمک پاورشل، درب پشتی BLADABINDI مهاجمان را قادر می‌سازد تا یک کی‌لاگر را فعال کند، فایل‌ها را اجرا کرده و گواهی‌نامه‌ها را از مرورگرهای وب به سرقت ببرد.


محققان ترندمیکرو تهدید ایجادشده توسط درب پشتی BLADABINDI را کم‌اهمیت جلوه نداده‌اند. به گفته‌ی آن‌ها بار داده، روش انتشار و فعالیت این درب پشتی در سیستم‌های آسیب‌دیده، تهدیدی بسیار مهمی برای کاربرها و به‌ویژه کسب‌وکارهایی است که هنوز از رسانه‌های قابل‌حمل در محل کار خود استفاده می‌کنند. بنابراین، به آن‌ها توصیه کرده‌اند تا نکات ایمنی را رعایت کنند.
 

منبع


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

3 + هفده =