مایکروسافت: تروجان‌های Quackbot و Emotet به طور فز اینده‌ای کاربران تجاری را هدف قرار می‌دهند

مایکروسافت می گوید تروجان های سرقت اطلاعات Quackbot و Emotet، فعالیت جدیدی را طی چند ماه گذشته شروع کرده اند و به طور فزاینده ای شرکت ها و کسب و کارهای متوسط و کوچک و سایر سازمان ها را هدف قرار می دهند.

با نمایش رفتارهای مشابه، این دو بدافزار به صورت خاص روی کاربران بانکی آنلاین تمرکز کرده اند، اما به نظر می رسد که اپراتورهای آن ها به جریان های درآمدی جدید علاقه مند هستند. آن ها همچنین توانایی های تروجان را با گسترش قابلیت ها افزایش می دهند تا شانس آلودگی ها را در شبکه های شرکت ها افزایش دهند.

مایکروسافت در یک پست وبلاگی گفت: «طی این سال‌ها، نویسندگان Quackbot و Emotet  روی بهبود کد خود تمرکز کردند تا مانع تشخیص شوند، و طولانی مدت زیر رادار تشخیصی بمانند و شانس انتشار به سایر قربانیان احتمالی را افزایش دهند. رفتارهای این دو بدافزار ، شباهت‌های بسیاری را نشان می‌دهد.» 

هر دوی این تروجان‌ها از یک نصب‌کننده‌ی تروجان برای آلوده کردن استفاده می‌کنند (برخی از انواع اخیر Quackbot از طریق کیت‌های بهره‌بردای گسترش می‌یابد.) که این نصب‌کننده‌ی تروجان مسئولیت تزریق کد داخل پردازه‌ی explorer.exe و وارد کردن بار داده‌ی مخرب به پوشه‌های تصادفی و اطمینان از پایداری آن را بر عهده دارد. این دو بدافزار می‌توانند اطلاعات رمزنگاری‌شده را برای سرور دستور و کنترل (C&C)ارسال کند.

هر دوی این تروجان‌ها برای سرقت اطلاعات قربانیان طراحی شده‌اند و می‌توانند با نصب کی‌لاگر، هوک کردن مرورگر و رابط‌های برنامه‌نویسی مربوط به شبکه، و سرقت کوکی‌ها و گواهی‌نامه‌ها، این کار را انجام دهند.

این دو تروجان همچنین قابلیت گسترش در اشتراک‌گذاری‌های شبکه و درایوهای در دسترس، از جمله درایوهای قابل حمل مانند فلش‌های USB را دارند. آن‌ها می‌توانند از طریق اشتراک‌گذاری‌های مدیر  پیش‌فرض و پوشه‌های به اشتراک گذاشته‌شده گسترش یابند و با استفاده از حساب‌های Active Directory شمارش‌شده برای انجام حملات جستجوی فراگیر تلاش کنند و می‌توانند از بلاک پیام سرور (SMB)  برای آلوده کردن سایر دستگاه‌ها استفاده کنند.

بنا به گفته‌ی مایکروسافت، از آن‌جا که ویندوز ۱۰ شامل ویژگی‌های مختلفی برای محافظت کاربران از بدافزارهایی مانند Quackbot و Emotet  است، شرکت‌ها می‌توانند یک سری اقدامات انجام دهند تا آلودگی‌های احتمالی را کاهش دهند و تهدید شبکه‌های خود را از بین ببرند.

گام اول این است که دستگاه‌های آلوده را از شبکه خارج کنند تا زمانی که پاک‌سازی شوند (کاری که به راحتی با کمک Windows Defender Advanced Threat Protection می‌تواند صورت گیرد.) و اشتراک‌گذاری پوشه‌هایی که نشانه‌هایی از آلودگی دارند را متوقف کنند. انتخاب گواهی‌نامه‌ی خوب به انجام این کار بسیار کمک می‌کند.

گام دوم این است که، پوشه‌ی وظایف برنامه‌ریزی‌شده را قفل کنید و اجرای خودکار را غیرفعال کنید که این کار از اجرای خودکار بدافزار در دستگاه‌های آسیب‌دیده جلوگیری می‌کند. گام بعدی این است که Quackbot و Emotet  و هر بدافزار مرتبط با آن‌ها را از سیستم‌های آلوده حذف کنید.

در آخر، به شرکت‌ها توصیه می‌شود که بردار آلودگی را مشخص کنند و اقدامات گفته شده را انجام دهند، تا حفاظت‌های بلادرنگ را در تمام دستگاه‌های شبکه فعال کرده و از آلودگی‌های آینده جلوگیری کنند. تنظیم سیاست‌های مسدودسازی پیام‌های حاوی بدافزار، از گواهی‌نامه‌های دامنه محافظت می‌کند و نحوه‌ی مقابله با چنین تهدیداتی را به کارکنان آموزش می‌دهد که این کار از آلودگی‌های احتمالی در آینده جلوگیری می‌کند.

منبع