توزیع بدافزار LokiBot و NanoCore در فایل‌های ایمیج ISO

بدافزار سرقت اطلاعات LokiBot دوباره در یک پویش هرزنامه توزیع شده است که از پیوست فایل‌های ایمیج ISO استفاده می‌کند. پویش مشابه آن در ماه آگوست سال ۲۰۱۸ میلادی گزارش شد اما به‌صورت یک روش توزیع غیرمعمول باقی ماند. این پویش جدید به‌طور مجزا بدافزار NanoCore را توزیع می‌کند. فایل‌های ایمیج ISO طراحی شده‌اند تا محتوای کامل یک دیسک نوری را در بر گیرند. به این ترتیب سایز فایل‌های قانونی ۱۰۰ مگابایت یا بیشتر است. سایز فایل‌های ISO مشاهده‌شده ۱ تا ۲ مگابایت بود که این سایز برای فایل‌های ایمیج غیرمعمول است.

تاکنون، Netskope حدود ۱۰ نوع بدافزار در پویش فعلی شناسایی کرده است که از فایل‌های ایمیج ISO و ایمیل‌های مختلف استفاده می‌کند و محتوای آن‌ها همیشه LokiBot و NanoCore بوده است. پویش فعلی در ماه آوریل سال ۲۰۱۹ میلادی و با یک پیام عمومی در مورد یک صورت‌حساب آغاز شد. به نظر نمی‌رسید که این پویش اشخاص و یا شرکت‌های خاصی را هدف قرار دهد. بااین‌حال، درصورتی‌که ایمیل در صندوق دریافت کاربر دریافت شود، به دلیل این‌که فایل‌های ISO اغلب در فهرست سفید موتورهای اسکن قرار دارند، مهاجمان می‌توانند از این مسأله بهره‌برداری کنند. علاوه‌برآن، درصورتی‌که کاربر هدف به آن‌ها مشکوک نشود و روی پیوست آن‌ها کلیک کنند، بسیاری از سیستم عامل‌ها به‌صورت خودکار فایل ایمیج را شناسایی و باز می‌کنند.

LokiBot نیز  تا پایان سال ۲۰۱۸ میلادی در قالبی توزیع می‌شد که برای فریب گیرندگان طراحی شده بود. در آن زمان، این بدافزار به‌عنوان یک فایل توزیع شد که از فرمت .com استفاده می‌کرد و احتمالاً امیدوار بود که قربانیان این فایل را به‌عنوان یک فایل اجرایی تشخیص ندهند. آخرین نسخه‌ی LokiBot نسبت به نسخه‌های قبلی کمی تغییر یافته است. روش‌های جدید شامل استفاده از تابع IsDebuggerPresent() برای تعیین این‌که آیا بدافزار داخل یک debugger بارگذاری شده است و روش ضد VM معمول برای اندازه‌گیری تفاوت زمان محاسباتی بین CloseHandle() و GetProcessHeap() به‌منظور تشخیص این‌که آیا داخل یک VM اجرا می‌شود، هستند.

LokiBot پس از اجرا بیش از ۲۵ مرورگر وب مختلف را کاوش می‌کند تا اطلاعات مرور را به سرقت ببرد و وجود ابزارهای مدیریت راه دور محبوب مانند SSH، VNC و RDP را بررسی می‌کند. بدافزار جایگزینی که در این پویش توزیع شده NanoCore RAT‌ است که توسط Taylor Huddlestone توسعه داده شده است. یک نسخه‌ی کرک‌شده از آن در انجمن‌های اینترنتی مختلف برای دانلود در دسترس قرار گرفته است. این نسخه از AutoIT به‌عنوان پوشش سطح بالا برای باینری کامپایل‌شده‌ی .NET اصلی خود استفاده می‌کند. اسکریپت AutoIT که مبهم‌سازی شده است پس از دی‌کامپایل، باینری .NET را ایجاد می‌کند.

NanoCore از سال ۲۰۱۳ میلادی در دسترس بوده و از اینترنت قابل دانلود است. این بدافزار یک تروجان مؤلفه‌ای است که می‌توان آن را اصلاح کرد تا افزونه‌های اضافی نیز داشته باشد و  می‌توان عملکرد آن را براساس نیاز کاربر توسعه داد. NanoCore در این پویش می‌تواند داده‌های کلیپ‌بورد، فشار دادن کلیدها و اطلاعات مربوط به اسناد ذخیره‌شده را جمع‌آوری کند و از FTP برای استخراج غیرمجاز اطلاعات سرقتی استفاده کند.

منبع

پست‌های مشابه

Leave a Comment