مایکروسافت درباره‌ی یک بدافزار بدون فایل جدید که رایانه‌های ویندوزی را به سرقت می‌برد، هشدار داد

یک نوع جدید از بدافزار وجود دارد که در اینترنت منتشر شده و تاکنون هزاران رایانه را در سراسر جهان آلوده کرده است و به احتمال زیاد، برنامه‌ی ضد بدافزار کاربر قادر به شناسایی آن نخواهد بود. دلیل آن هم این است که اولاً یک بدافزار بدون فایل پیشرفته است و ثانیاً به جای استفاده از یک قطعه کد مخرب، تنها از ابزارهای سیستمی داخلی قانونی و ابزارهای شخص ثالث برای توسعه‌ی عملکرد خود و آسیب رساندن به رایانه‌ها استفاده می‌کند.

این بدافزار که توسط پژوهش‌گران امنیت سایبری مایکروسافت و سیکو تالس کشف شد و Nodersok و Divergent نامیده می‌شود، در درجه‌ی اول از طریق تبلیغات آنلاین مخرب توزیع می‌شود و کاربران را با استفاده از یک حمله‌ی drive-by download آلوده می‌کند.

این بدافزار که اولین بار در اواسط ماه جولای سال جاری مشاهده شد، برای تبدیل رایانه‌های ویندوزی به پروکسی‌ها طراحی شده است که طبق گفته‌ی مایکروسافت مهاجمان می‌توانند از آن به‌عنوان ابزاری برای مخفی کردن ترافیک مخرب استفاده کنند. درحالی‌که سیسکو تالس معتقد است که از این پروکسی‌ها برای کلاه‌برداری با کلیک به منظور درآمدزایی برای مهاجمان استفاده می‌شود.

این آلودگی زمانی آغاز می‌شود که تبلیغات مخرب، فایل برنامه‌ی HTML را در رایانه‌های کاربران توزیع می‌کنند که وقتی روی آن‌ها کلیک شود مجموعه‌ای از بار داده‌های جاوااسکریپت و اسکریپت‌های پاورشل را اجرا می‌کند که در نهایت بدافزار Nodersok را بارگیری و نصب می‌کنند.

مایکروسافت تشریح می‌کند که همه‌ی عملکردهای مربوطه در اسکریپت‌ها و شل‌کدهایی وجود دارد که همیشه رمزنگاری‌شده هستند و سپس رمزگشایی می‌شوند و در حافظه اجرا می‌شوند. تاکنون هیچ فایل اجرایی مخربی در حافظه نوشته نشده است.

کد جاوااسکریپت به خدمات ابری قانونی و دامنه‌های پروژه متصل می‌شود تا اسکریپت‌های مرحله‌ی دوم و مؤلفه‌های رمزنگاری‌شده‌ی بیشتری را بارگیری و اجرا کند. این مؤلفه‌ها عبارتند از:

  • اسکریپت‌های پاورشل: تلاش می‌کند تا ضدبدافزار ویندوز دیفندر و به‌روزرسانی ویندوز را غیرفعال کند.
  • شل‌کد باینری: تلاش می‌کند تا امتیازات را بااستفاده از رابط COM افزایش دهد.
  • Node.exe: پیاده‌سازی چارچوب Node.js که قابل اطمینان است و یک امضای دیجیتال معتبر دارد، جاوااسکریپت مخرب اجرا می‌کند تا در context یک فرآیند قابل اطمینان فعالیت کند.
  • WinDivert: یک ابزار قانونی و قدرتمند دریافت و دست‌کاری بسته‌ی شبکه که بدافزار برای فیلتر کردن و تغییر دادن بسته‌های خروجی خاص استفاده می‌کند.

سرانجام این بدافزار بار داده‌ی جاوااسکریپت نهایی نوشته‌شده برای چارچوب Node.js را توزیع می‌کند که سیستم آسیب‌دیده را به یک پروکسی تبدیل می‌کند. مایکروسافت تشریح کرد که به دلیل این‌که فیلتر بسته‌ی شبکه فعال است و دستگاه به‌عنوان یک پروکسی بالقوه کار می‌کند، در نهایت منجر به آلودگی می‌شود.

هنگامی که یک دستگاه به یک پروکسی تبدیل می‌شود، ممکن است توسط مهاجمان به‌عنوان ابزاری برای دسترسی به موجودیت‌های دیگر شبکه مورد استفاده قرار گیرد که به آن‌ها اجازه می‌دهد تا فعالیت‌های مخرب مخفیانه انجام دهند.

به گفته‌ی کارشناسان مایکروسافت، موتور پروکسی مبتنی‌بر Node.js دو هدف اصلی دارد، اولی این است که سیستم آلوده را به یک سرور دستور و کنترل تحت کنترل مهاجم راه دور متصل کند و دومی این است که درخواست‌های HTTP برای پروکسی رو دریافت ‌کند.

از طرفی دیگر، کارشناسان سیسکو تالس نتیجه‌گیری می‌کنند که مهاجمان از این مؤلفه‌ی پروکسی استفاده می‌کنند تا به سیستم‌های آلوده‌شده دستور دهند تا برای کسب درآمد و کلاه‌برداری با کلیک، به صفحات وب دلخواه مراجعه کنند.

طبق گفته‌ی مایکروسافت، بدافزار Nodersok هزاران دستگاه را در چند هفته‌ی گذشته آلوده کرده است که بیشتر این اهداف در امریکا و اروپا قرار دارند. بااین‌که این بدافزار در ابتدا روی هدف قرار دادن کاربران خانگی ویندوز تمرکز می‌کند، پژوهش‌گران مشاهده کرده‌اند که حدود ۳ درصد از این حملات سازمان‌ها ازجمله بخش‌های آموزشی، درمانی، مالی، خرده‌فروشی و تجاری و خدمات حرفه‌ای را هدف قرار می‌دهند.

از آن‌جا که این بدافزار از روش‌های بدون فایل پیشرفته استفاده می‌کند و با به کارگیری ابزارهای قانونی به زیرساخت شبکه متکی است، این پویش حمله به‌طور مخفیانه و خارج از محدوده‌ی شناسایی فعالیت می‌کند و شناسایی آن برای برنامه‌های ضد بدافزار مبتنی‌بر امضای سنتی سخت‌تر می‌شود.

مایکروسافت بیان می‌کند که درصورتی‌که همه‌ی فایل‌های قانونی و پاک استفاده‌شده در این حمله حذف شوند، همه‌ی فایل‌های باقیمانده فایل HTA اولیه، بار داده‌ی مبتنی‌بر Node.js نهایی و یک دسته از فایل‌های رمزنگاری‌شده هستند. امضاهای مبتنی‌بر فایل سنتی برای مقابله با تهدیدهای پیچیده مانند این حمله کافی نیستند. بااین‌حال، این شرکت بیان می‌کند که رفتار این بدافزار یک ردپای قابل رویت ایجاد کرده است که به وضوح برای کسانی که درباره‌ی آن آگاهی دارند، برجسته شده است.

در ماه جولای سال جاری، مایکروسافت پویش بدافزاری بدون فایل دیگری به نام Astaroth را کشف و گزارش کرد که برای سرقت اطلاعات حساس کاربران بدون توزیع هیچ فایل قابل اجرا در حافظه یا بدون نصب هیچ نرم‌افزاری در دستگاه قربانی طراحی شده است. مایکروسافت بیان کرد که برنامه‌ی ویندوز دیفندر ATP نسل بعدی این حملات بدافزاری بدون فایل را با مشاهده‌ی رفتارهای غیرعادی و مخرب مانند اجرای اسکریپت‌ها و ابزارها در هر مرحله از آلودگی تشخیص می‌دهد.

منبع

Related posts

Leave a Comment

10 − 7 =