info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

هرزنامه‌ای با ترکیب باج افزار و تروجان

خلاصه: متخصصان امنیتی در موسسه‌ی SANS کشف کردند که دو خانواده از بدافزارها یعنی NemucodAES  و Kovter با یکدیگر در فایل های zip ضمیمه شده در برخی حمله‌های هرزنامه‌ایِ فعال وجود دارند، با این تفاوت که کشف و از بین بردن NemucodAES بسیار راحت­تر از Kovter می‌­باشد.

براد دانکن، محقق امنیتی در طول دو هفته گذشته متوجه افزایش قابل توجه در ارسال برخی هرزنامه‌های بدخواهانه‌ی حاوی فایل‌های zip شده است. این هرزنامه‌ها محتوی فایل‌های جاوا اسکریپتی هستند که اقدام به دانلود باج‌افزار NemucodAES و بدافزار Kovter (که از نوع بدافزارهای click-fraud می‌باشد) می‌کنند.

NemucodAES نوعی از دانلودکننده‌ی Nemucod Trojan به حساب می‌آید که به عنوان توزیع‌کننده‌ی باج‌افزارهای Locky و TeslaCrypt در سال ۲۰۱۶ شهرت دارد.

ابتدا در مارس ۲۰۱۶ گزارشاتی مبنی بر توقف دانلود باینری‌های باج‌افزار توسط Nemucod با هدف استفاده از باج‌افزار درونیِ خود که مبتنی بر اسکریپت بود مشاهده گردید. هم اکنون یعنی در ژوئیه ۲۰۱۷ شاهد فاز بعدی از باج‌افزارِ Nemucod یعنی NemucodAES هستیم. این گونه‌ی جدید در جاوا اسکریپت و PHP نوشته شده است که از الگوریتم‌های AES و RSA برای رمزگذاری فایل های قربانی استفاده می­کند.

فعالیت‌های خراب‌کارانه‌ی باج‌افزارِ NemucodAES با استفاده از یک ابزارِ رمزگشا به راحتی قابل خنثی‌سازی می­باشد. با این حال، Kovter click-fraud نوعی بدافزارِ بدون فایل است که به سختی کشف می­شود. از Kovter به منظور دزدیدن اطلاعات شخصی و دانلود و اجرای برنامه­های مخرب دیگر استفاده می‌گردد.

هرزنامه‌ها، فایل­های zip مخرب را در پوشش اطلاعیه­هایی از خدمات United Parcel Service منتقل می­کنند. هرزنامه‌های دارای فایل­های زیپ که محتویِ فایل­های جاوا اسکریپت هستند، برای بیشتر سازمان­ها قابل شناسایی می­باشند اما برخی از آنها ممکن است از فیلتر­­ها عبور کرده و سبب آلوده­شدن سیستم­ها شوند. با استفاده از ابزارِ رمزگشایِ NemucodAES می­توان فایل­ها را بازیابی کرد. با این حال، دانکن پیش‌بینی می‌کند که این باج‌افزار به رشد و تحول خود ادامه دهد.

در حمله‌های گذشته، Kovter و باج‌افزار Locky هر دو در یک بسته استفاده شده‌اند. در ماه فوریه، کارشناسانِ مایکروسافت ایمیل­هایی را کشف کردند که حاوی ضمیمه­های “.lnk” با هدف گسترش باج‌افزارِ Locky و همینطور Kovter بودند.

در حمله‌های اخیر، NemucodAES و Kovter در فایل‌های بدخواهانه‌ی zip قرارمی­گیرند. هنگامی که قربانی بسته را از حالت فشرده خارج می­کند، یک فایل جاوا اسکریپت استخراج می­شود.

بر طبق نتایج تحقیقات، روند ترافیک شبکه پس از آلودگی به یکی از فایل‌های “.js” یکسان است: در ابتدا درخواست های HTTP برای NemucodAES JavaScript مشاهده شده و به دنبال آن درخواست­های اجرایی مختلفی دیده می‌شود. سپس ترافیکِ مخصوص به

مطالب مرتبط

تحت نظارت وف ایرانی