مجرمان سایبری فعالیت خود را متوقف نمیکنند و از هر فرصتی برای طعمه کردن کاربران اینترنت استفاده میکنند. حتی گسترش فاجعهبار ویروس سارس، که منجر به بیماری COVID-19 شد، به فرصتی برای آنها تبدیل شده است تا بدافزار منتشر کنند و یا حملات سایبری راهاندازی کنند. Reason Cybersecurity بهتازگی یک گزارش تحلیل تهدید منتشر کرد که جزئیات حملهی جدیدی را نشان میدهد که از افزایش اشتیاق کاربران اینترنت برای کسب اطلاعات دربارهی ویروس کرونا بهره میبرد.
این حملهی بدافزاری بهطور خاص قصد دارد کسانی را که به دنبال نمایش گرافیکی انتشار ویروس کرونا در اینترنت هستند، هدف قرار دهد و آنها را فریب دهد تا برنامهی مخربی را بارگیری و اجرا کنند که در ظاهر نقشهی بارگیریشده از یک منبع قانونی برخط را نشان میدهد، اما در پسزمینه رایانهی کاربر را در معرض خطر قرار میدهد. آخرین تهدیدی که برای سرقت اطلاعات از قربانیان ناآگاه طراحی شده بود، اولین بار توسط MalwareHunterTeam مشاهده شد و درحالحاضر توسط یک پژوهشگر امنیت سایبری در Reason Labs تجزیه و تحلیل شد.
این تهدید شامل بدافزاری به نام AZORult، یک نرمافزار مخرب سرقت اطلاعات، است که در سال ۲۰۱۶ میلادی کشف شد. بدافزار AZORult اطلاعات ذخیرهشده در مرورگرهای وب، بهخصوص کوکیها، تاریخچهی مرور، شناسههای کاربر، گذرواژهها و حتی کلیدهای رمزارز را جمعآوری میکند.
با این دادههای جمعآوریشده از مرورگرها، این امکان برای مجرمان سایبری وجود دارد که شماره کارتها، گواهینامههای ورود و اطلاعات حساس دیگری را به سرقت ببرند. AZORult در انجمنهای مخفی روسیه بهعنوان ابزاری برای جمعآوری داده از رایانهها مورد بحث قرار گرفته است و یک نسخهای از آن وجود دارد که قادر به ایجاد یک حساب مدیر مخفی در رایانههای آلوده است تا اتصال از طریق remote desktop protocol را فراهم میکند.
Alfasi پس از مطالعهی این بدافزار که در فایلی با نام Corona-virus-Map.com.exe گنجانده شده است، جزئیات فنی را منتشر میکند. این فایل یک فایل اجرای win32 کوچک با سایزی حدود ۳.۲۶ مگابایت است.
با دو بار کلیک روی فایل پنجرهای باز میشود که اطلاعات مختلفی دربارهی انتشار ویروس کرونا نشان میدهد. بخش اصلی آن یک نقشهی آلودگی مشابه نقشهای است که توسط دانشگاه جان هاپکینز، یکی از منابع معتبر آنلاین برای تصویرسازی و ردیابی موارد ابتلا به ویروس کرونا در زمان واقعی، میزبانی میشود.
تعداد موارد تأییدشده در کشورهای مختلف در سمت چپ و تعداد مرگ و میر و بهبودی در سمت راست نمایش داده شده است. این پنجره به نظر میرسد که تعاملی است و دارای زبانههایی برای اطلاعات مرتبط دیگر و پیوند به منابع است.
این نقشه یک رابط گرافیکی کاربری متقاعدکننده نشان میدهد که بسیاری از کاربران گمان نمیکنند که مخرب باشد. اطلاعات نمایش داده شده ترکیبی از دادههای تصادفی نیست، بلکه اطلاعات واقعی ویروس کرونا است که از وبگاه جان هاپکینز جمعآوری شده است.
لازم به ذکر است که نقشهی اصلی ویروس کرونا که بهصورت آنلاین توسط دانشگاه جان هاپکینز یا ArcGIS میزبانی میشود، به هیچ وجه آلوده نیست و بازدید از آنها بیخطر است. این نرمافزار مخرب از برخی لایههای بستهبندی بههمراه یک روش چند زیرفرآیندی استفاده میکند تا شناسایی و تجزیه و تحلیل آن را برای پژوهشگران چالشبرانگیز کند. علاوهبرآن، از یک زمانبندی وظایف استفاده میکند و درنتیجه میتواند به فعالیت خود ادامه دهد.
اجرای فایل Corona-virus-Map.com.exe منجر به ایجاد کپیهایی از فایل Corona-virus-Map.com.exe و چند فایل دیگر شامل Corona.exe، Bin.exe، Build.exe و Windows.Globalization.Fontgroups.exe میشود. اجرای این بدافزار فرآیندهای Bin.exe، Windows.Globalization.Fontgroups.exe و Corona-virus-Map.com.exe را فعال میکند.
Alfasi در یک پست وبلاگی شرح مفصلی دربارهی این بدافزار ارائه داد. یکی از جزئیات برجسته، تجزیه و تحلیل او از فرآیند Bin.exe با Ollydbg است. این فرآیند چند کتابخانهی لینک پویا (DLL) نوشته بود. فایل nss3.dll توجه او را به خود جلب کرد، زیرا از طریق عاملهای مختلف از آن مطلع شده بود. Alfasi بارگذاری استاتیک رابطهای برنامهنویسی مرتبط با nss3.dll را مشاهده کرد. ظاهراً این رابطهای برنامهنویسی، رمزگشایی گذرواژههای ذخیرهشده و تولید دادهی خروجی را تسهیل میکردند.
این یک رویکرد رایج است که توسط سارقان داده استفاده میشود و بهسادگی تنها دادههای ورود را از مرورگر وب آلوده میگیرد و آن را به پوشهی C:/Windows\Temp منتقل میکند. این یکی از ویژگیهای بارز حملهی AZORult است که در آن بدافزار دادهها را استخراج میکند، یک شناسهی منحصر به فرد برای رایانهی آلوده ایجاد میکند، رمزنگاری XOR را اعمال میکند و سپس ارتباط C2 را آغاز میکند.
این بدافزار با هدف سرقت دادههای ورود از حسابهای آنلاین مانند تلگرام و Steam تماسهای خاصی برقرار میکند. اجرای بدافزار تنها اقدامی است که برای انجام فرآیندهای سرقت اطلاعات لازم است. قربانیان نیازی به تعامل با این پنجره یا وارد کردن اطلاعات حساس در آن ندارند. Alfasi نرمافزار Reason Antivirus را بهعنوان راهحلی برای رفع مشکل دستگاههای آلوده و جلوگیری از حملات ارائه میدهد که به هر حال به Reason Security وابسته است. Reason اولین شرکتی است که این تهدید جدید را کشف کرد، درنتیجه بهتر میتواند آن را کنترل و مدیریت کند.
احتمالاً سایر شرکتهای امنیتی از این تهدید اطلاع داشتند، زیرا Reason آن را در ۹ مارس بهطور عمومی افشا کرد. نرمافزارهای ضد بدافزار یا ابزارهای محافظت در برابر بدافزار آنها از زمان افشای این تهدید بهروزرسانی شده است. به این ترتیب، ممکن است آنها قادر به شناسایی و جلوگیری از این تهدید جدید باشند.
نکتهی مهم برای از بین بردن و متوقف کردن بدافزار فرصتطلبانهی coronavirus map داشتن سیستم محافظت در برابر بدافزار مناسب است. شناسایی آن بهطور دستی و از بین بردن آلودگی بدون ابزار نرمافزاری مناسب چالشبرانگیز خواهد بود. ممکن است احتیاط در بارگیری و اجرای فایلها از اینترنت کافی نباشد، زیرا امروزه بسیاری از افراد تمایل دارند به اطلاعات مربوط به ویروس کرونا دسترسی پیدا کنند.
مجرمان سایبری فعالیت خود را متوقف نمیکنند و از هر فرصتی برای طعمه کردن کاربران اینترنت استفاده میکنند. حتی گسترش فاجعهبار ویروس سارس، که منجر به بیماری COVID-19 شد، به فرصتی برای آنها تبدیل شده است تا بدافزار منتشر کنند و یا حملات سایبری راهاندازی کنند. Reason Cybersecurity بهتازگی یک گزارش تحلیل تهدید منتشر کرد که جزئیات حملهی جدیدی را نشان میدهد که از افزایش اشتیاق کاربران اینترنت برای کسب اطلاعات دربارهی ویروس کرونا بهره میبرد.
این حملهی بدافزاری بهطور خاص قصد دارد کسانی را که به دنبال نمایش گرافیکی انتشار ویروس کرونا در اینترنت هستند، هدف قرار دهد و آنها را فریب دهد تا برنامهی مخربی را بارگیری و اجرا کنند که در ظاهر نقشهی بارگیریشده از یک منبع قانونی برخط را نشان میدهد، اما در پسزمینه رایانهی کاربر را در معرض خطر قرار میدهد. آخرین تهدیدی که برای سرقت اطلاعات از قربانیان ناآگاه طراحی شده بود، اولین بار توسط MalwareHunterTeam مشاهده شد و درحالحاضر توسط یک پژوهشگر امنیت سایبری در Reason Labs تجزیه و تحلیل شد.
این تهدید شامل بدافزاری به نام AZORult، یک نرمافزار مخرب سرقت اطلاعات، است که در سال ۲۰۱۶ میلادی کشف شد. بدافزار AZORult اطلاعات ذخیرهشده در مرورگرهای وب، بهخصوص کوکیها، تاریخچهی مرور، شناسههای کاربر، گذرواژهها و حتی کلیدهای رمزارز را جمعآوری میکند.
با این دادههای جمعآوریشده از مرورگرها، این امکان برای مجرمان سایبری وجود دارد که شماره کارتها، گواهینامههای ورود و اطلاعات حساس دیگری را به سرقت ببرند. AZORult در انجمنهای مخفی روسیه بهعنوان ابزاری برای جمعآوری داده از رایانهها مورد بحث قرار گرفته است و یک نسخهای از آن وجود دارد که قادر به ایجاد یک حساب مدیر مخفی در رایانههای آلوده است تا اتصال از طریق remote desktop protocol را فراهم میکند.
Alfasi پس از مطالعهی این بدافزار که در فایلی با نام Corona-virus-Map.com.exe گنجانده شده است، جزئیات فنی را منتشر میکند. این فایل یک فایل اجرای win32 کوچک با سایزی حدود ۳.۲۶ مگابایت است.
با دو بار کلیک روی فایل پنجرهای باز میشود که اطلاعات مختلفی دربارهی انتشار ویروس کرونا نشان میدهد. بخش اصلی آن یک نقشهی آلودگی مشابه نقشهای است که توسط دانشگاه جان هاپکینز، یکی از منابع معتبر آنلاین برای تصویرسازی و ردیابی موارد ابتلا به ویروس کرونا در زمان واقعی، میزبانی میشود.
تعداد موارد تأییدشده در کشورهای مختلف در سمت چپ و تعداد مرگ و میر و بهبودی در سمت راست نمایش داده شده است. این پنجره به نظر میرسد که تعاملی است و دارای زبانههایی برای اطلاعات مرتبط دیگر و پیوند به منابع است.
این نقشه یک رابط گرافیکی کاربری متقاعدکننده نشان میدهد که بسیاری از کاربران گمان نمیکنند که مخرب باشد. اطلاعات نمایش داده شده ترکیبی از دادههای تصادفی نیست، بلکه اطلاعات واقعی ویروس کرونا است که از وبگاه جان هاپکینز جمعآوری شده است.
لازم به ذکر است که نقشهی اصلی ویروس کرونا که بهصورت آنلاین توسط دانشگاه جان هاپکینز یا ArcGIS میزبانی میشود، به هیچ وجه آلوده نیست و بازدید از آنها بیخطر است. این نرمافزار مخرب از برخی لایههای بستهبندی بههمراه یک روش چند زیرفرآیندی استفاده میکند تا شناسایی و تجزیه و تحلیل آن را برای پژوهشگران چالشبرانگیز کند. علاوهبرآن، از یک زمانبندی وظایف استفاده میکند و درنتیجه میتواند به فعالیت خود ادامه دهد.
اجرای فایل Corona-virus-Map.com.exe منجر به ایجاد کپیهایی از فایل Corona-virus-Map.com.exe و چند فایل دیگر شامل Corona.exe، Bin.exe، Build.exe و Windows.Globalization.Fontgroups.exe میشود. اجرای این بدافزار فرآیندهای Bin.exe، Windows.Globalization.Fontgroups.exe و Corona-virus-Map.com.exe را فعال میکند.
Alfasi در یک پست وبلاگی شرح مفصلی دربارهی این بدافزار ارائه داد. یکی از جزئیات برجسته، تجزیه و تحلیل او از فرآیند Bin.exe با Ollydbg است. این فرآیند چند کتابخانهی لینک پویا (DLL) نوشته بود. فایل nss3.dll توجه او را به خود جلب کرد، زیرا از طریق عاملهای مختلف از آن مطلع شده بود. Alfasi بارگذاری استاتیک رابطهای برنامهنویسی مرتبط با nss3.dll را مشاهده کرد. ظاهراً این رابطهای برنامهنویسی، رمزگشایی گذرواژههای ذخیرهشده و تولید دادهی خروجی را تسهیل میکردند.
این یک رویکرد رایج است که توسط سارقان داده استفاده میشود و بهسادگی تنها دادههای ورود را از مرورگر وب آلوده میگیرد و آن را به پوشهی C:/Windows\Temp منتقل میکند. این یکی از ویژگیهای بارز حملهی AZORult است که در آن بدافزار دادهها را استخراج میکند، یک شناسهی منحصر به فرد برای رایانهی آلوده ایجاد میکند، رمزنگاری XOR را اعمال میکند و سپس ارتباط C2 را آغاز میکند.
این بدافزار با هدف سرقت دادههای ورود از حسابهای آنلاین مانند تلگرام و Steam تماسهای خاصی برقرار میکند. اجرای بدافزار تنها اقدامی است که برای انجام فرآیندهای سرقت اطلاعات لازم است. قربانیان نیازی به تعامل با این پنجره یا وارد کردن اطلاعات حساس در آن ندارند. Alfasi نرمافزار Reason Antivirus را بهعنوان راهحلی برای رفع مشکل دستگاههای آلوده و جلوگیری از حملات ارائه میدهد که به هر حال به Reason Security وابسته است. Reason اولین شرکتی است که این تهدید جدید را کشف کرد، درنتیجه بهتر میتواند آن را کنترل و مدیریت کند.
احتمالاً سایر شرکتهای امنیتی از این تهدید اطلاع داشتند، زیرا Reason آن را در ۹ مارس بهطور عمومی افشا کرد. نرمافزارهای ضد بدافزار یا ابزارهای محافظت در برابر بدافزار آنها از زمان افشای این تهدید بهروزرسانی شده است. به این ترتیب، ممکن است آنها قادر به شناسایی و جلوگیری از این تهدید جدید باشند.
نکتهی مهم برای از بین بردن و متوقف کردن بدافزار فرصتطلبانهی coronavirus map داشتن سیستم محافظت در برابر بدافزار مناسب است. شناسایی آن بهطور دستی و از بین بردن آلودگی بدون ابزار نرمافزاری مناسب چالشبرانگیز خواهد بود. ممکن است احتیاط در بارگیری و اجرای فایلها از اینترنت کافی نباشد، زیرا امروزه بسیاری از افراد تمایل دارند به اطلاعات مربوط به ویروس کرونا دسترسی پیدا کنند.
انتشار همهگیر ویروس کرونا مستلزم احتیاط حداکثری بهصورت آنلاین و آفلاین است. مهاجمان سایبری از محبوبیت منابع مرتبط با ویروس کرونا در وب بهرهبرداری میکنند و احتمالاً بسیاری از آنها در معرض حمله قرار خواهند گرفت.
انتشار همهگیر ویروس کرونا مستلزم احتیاط حداکثری بهصورت آنلاین و آفلاین است. مهاجمان سایبری از محبوبیت منابع مرتبط با ویروس کرونا در وب بهرهبرداری میکنند و احتمالاً بسیاری از آنها در معرض حمله قرار خواهند گرفت.