اپراتورهای Dridex از دانلودکننده‌ی تروجان جدیدی استفاده می‌کنند

عامل تهدیدی که به ترویج تروجان بانکی Dridex و باج‌افزار Locky شناخته شده، در ماه ژوئن استفاده از یک بارگیر تروجان جدید را آغاز کرده است. این عامل تهدید با نام TA505 که با انگیزه‌ی مالی فعالیت می‌کند و به زبان روسی صحبت می‌کند، در طول زمان ثابت کرده است که با تروجان‌های بانکی مانند Shifu و Dridex، باج‌افزار و درب‌های پشتی مختلف ازجمله ServHelper و FlawedAmmyy در ارتباط است.

ماه گذشته، پژوهش‌گران امنیتی Proofpoint متوجه شدند که TA505 از یک بارگیر تروجان جدید برای توزیع تروجان دسترسی از راه دور کامل  FlawedAmmyy استفاده می‌کند. این بارگیر که AndroMut نامیده می‌شود، شباهت‌های کدی و رفتاری با Andromeda، یک خانواده‌ی بدافزاری قدیمی، دارد. AndroMut در دو پویش مجزا مشاهده شده است که هردوی آن‌ها از پیوست‌های HTML یا HTM پیوند داده شده به یک فایل ورد یا اکسل حاوی ماکروهای مخرب استفاده می‌کنند تا یک دستور Msiexec را اجرا کنند و AndroMut یا FlawedAmmyy را بارگیری و اجرا می‌کنند.

پویش اول کاربران کره‌ی جنوبی را هدف قرار می‌دهد، درحالی‌که پویش دوم گیرندگانی را در مؤسسات مالی سنگاپور، امارات متحده‌ی عربی و امریکا هدف قرار می‌دهد. AndroMut که به زبان c++ نوشته شده است، بسیاری از فراخوانی‌های Windows API خود را در هنگام اجرا توسط هش انجام می‌دهد و از روش‌های ضد تحلیل متعددی استفاده می‌کند. همچنین برای پایداری نیز یک وظیفه را برنامه‌ریزی می‌کند که فایل LNK ایجاد شده در سطل آشغال را اجرا ‌کند و یا از روش اجرای رجیستری استفاده می‌کند. Proofpoint نتیجه‌گیری می‌کند که با توجه به الگوی رفتاری معمول TA505، این نسخه‌ی جدید سال ۲۰۱۹ میلادی، بانک‌های تجاری امریکا، امارات متحده‌ی عربی و سنگاپور را به‌عنوان اهداف اصلی خود انتخاب کرده است.

منبع

پست‌های مشابه

Leave a Comment