بدافزار

فایل مخرب EXE ویندوز، سیستم‌های مک را هدف قرار داده است

گزارش‌ها حاکی از آن است که یک فایل اجرایی EXE ویندوز می‌تواند دستگاه‌های مک را آلوده کند. محققان امنیتی از شرکت ترندمیکرو، روش جدیدی را شناسایی کردند که توسط مهاجمان سایبری برای آلوده کردن و دور زدن راه‌کارهای امنیتی در macOS مورد استفاده قرار می‌گیرد. در این روش جدید از فایل‌های EXE که به‌طور معمول بر روی سیستم‌های ویندوز اجرا می‌شود، استفاده شده است.

توزیع بدافزار Ursnif و باج‌افزار GandCrab در دو پویش مختلف

محققان امنیتی دو پویش جدید را شناسایی کرده‌اند که تازگی فعال شده‌اند. یکی از این پویش‌ها به توزیع بدافزار Ursnif و دیگری به توزیع باج‌افزار GandCrab می‌پرازند. محققان اعلام کردند عوامل این دو پویش با هم متفاوت هستند ولی شباهت‌هایی هم بین آن‌ها وجود دارد. مهاجمان از رایانامه‌های فیشینگ برای توزیع اسناد مخرب مایکروسافت ورد استفاده می‌کنند که از طریق پاورشِل در ادامه بدافزارها را دریافت می‌کند. شرکت‌های امنیتی که این پویش‌ها را پیگیری می‌کنند، ۱۸۰ نمونه مختلف از سند مخرب مایکروسافت ورد را مشاهده کرده‌اند.

 

استفاده‌ی تروجان RogueRobin از گوگل‌درایو به‌عنوان کارگزار دستور و کنترل

پویش سایبری جدیدی منتسب به گروه نفوذ DarkHydrus شناسایی شده که در حال توزیع تروجان RogueRobin هستند. نکته‌ی جالبی که وجود دارد این است که این نفوذگران از سرویس گوگل‌درایو به‌عنوان کارگزار دستور و کنترل استفاده می‌کنند. آخرین فعالیت مربوط به این گروه نفوذ در حمله‌ی آن‌ها به خاورمیانه مشاهده شده بود که کاربران را با فایل‌های اکسل همراه با ماکروهای مخرب VBA فریب می‌دادند. محققان اعلام کردند این ماکروی مخرب در ادامه یک فایل .TXT را دانلود کرده و با استفاده از سرویس قانونی regsvr32.exe آن را اجرا می‌کند.

استفاده از حسگرهای حرکتی برای نصب بدافزار اندرویدی

با وجود تمامی تلاش‌هایی که شرکت گوگل در راستای امن‌سازی فروشگاه گوگل‌پلی انجام داده، با این حال در این زمینه موفق نبوده و مهاجمان می‌توانند راه‌کارهای امنیتی گوگل را دور زده و بدافزارها را به برنامه‌های اندرویدی تزریق کنند. به تازگی محققان امنیتی دو برنامه‌ی آلوده را شناسایی کردند که دستگاه‌های قربانیان را با بدافزارهای بانکی آلوده کرده و بیش از هزاران بار توسط کاربران بارگیری شده‌اند. این برنامه‌ها در دسته‌ی مبدل ارز و ذخیره‌ساز باتری قرار داشته و Currency Converter و BatterySaverMobi نام دارند.

ظهور مجدد کیت بهره‌برداری Fallout و اضافه شدن آسیب‌پذیری روز-صفرم فلش‌پلیر

محققان امنیتی نسخه‌ی جدیدی از کیت بهره‌برداری Fallout را شناسایی کرده‌اند که در آن یک بهره‌برداری برای آسیب‌پذیری روز-صفرم فلش اضافه شده است. این کیت بهره‌برداری اولین بار در سپتامبر سال ۲۰۱۸ میلادی مورد بررسی قرار گرفت و بدافزارهای مختلف از جمله باج‌افزار و تروجان را توزیع کرده و از مرورگرهای وب انگشت‌نگاری می‌کرد تا اهداف مناسبی را برای حمله‌ی مهاجمان سایبری شناسایی کند. فعالیت‌های این کیت بهره‌برداری تا آخر سال ۲۰۱۸ میلادی ادامه داشت و با شروع ماه ژانویه متوقف شد که می‌توان حدس زد که برای به‌روزرسانی آن بوده است.

تبلیغ و توسعه‌ی باج‌افزار BlackRouter توسط توسعه‌دهنده‌ی ایرانی

گزارش‌ها حاکی از آن است که یک توسعه‌دهنده‌ی ایرانی در کانال‌های تلگرام باج‌افزاری با نام BlackRouter را تبلیغ کرده و به فروش می‌رساند. گفته می‌شود این توسعه‌دهنده قبلا نیز تروجان و بدافزار دیگری را به این شیوه توزیع کرده است. به این روش توزیع و فروش باج‌افزار «باج‌افزار در قالب سرویس» گفته می‌شود. این باج‌افزار اولین بار در ماه می ۲۰۱۸ میلادی شناسایی شده و در ژانویه نیز یک نسخه‌ی جدید از آن کشف شده است. در نسخه‌ی جدید واسط‌های گرافیکی کاربر بهبود داده شده و تایمر به باج‌افزار اضافه شده است. 

 

همکاری بدافزار TrickBot با باج‌افزار Ryuk برای آلوده کردن سیستم قربانیان

باج‌افزار Ryuk یکی از بدافزارهای قدیمی در این حوزه محسوب می‌شود که از سرویس‌هایی مانند سرویس رومیزی راه دور بهره‌برداری کرده پس از بدست آوردن گواهی‌نامه‌های کاربر قربانی، سیستم او را آلوده و فایل‌ها را رمزنگاری می‌کند. این باج‌افزار مبلغ باج بسیار زیادی از قربانی درخواست کرده و تاکنون ۳٫۷ میلیون دلار درآمد داشته است. این باج‌افزار اخیرا در حمله‌ای که توزیع روزنامه‌های آمریکا را با تاخیر مواجه کرد، مورد استفاده قرار گرفته بود.

پویش بدافزاری با قابلیت‌های سرقت اطلاعات و رمزنگاری با باج‌افزار GandCrab راه‌اندازی شده است

پویش جدید بدافزاری به راه افتاده که با استفاده از بار داده‌های مختلف سعی دارد اطلاعات محرمانه‌ی قربانی را به سرقت برده و فایل‌ها را با استفاده از باج‌افزار GandCrab رمزنگاری کند. مهاجمان سایبری از کیت بهره‌برداری با نام Fallout استفاده کرده‌اند که این ابزار برای بهره‌برداری از آسیب‌پذیری در پورت‌ها و نرم‌افزار و نصب درب پشتی بر روی سامانه‌ی قربانی طراحی شده است. گزارش‌ها حاکی از آن است که این کیت بهره‌برداری، بار داده‌ی سارق اطلاعات با نام Vidar  و باج‌افزار GandCrab را بر روی سیستم قربانی نصب می‌کند.

 

انتشار ابزار رمزگشایی رایگان برای فایل‌های رمزنگاری‌شده با باج‌افزار Aurora

کاربرانی که قربانی باج‌افزاری با نام Aurora شده‌اند، از این پس می‌توانند از یک ابزار رمزگشایی که توسط یک محقق امنیتی سرشناس با نام Michael Gillespie منتشر شده، برای رمزگشایی فایل‌های خود استفاده کنند. این ابزار به‌طور رایگان در اختیار همه‌ی کاربران قرار گرفته است. این بدافزار کاربران ویندوز را هدف قرار داده و به انتهای فایل‌های رمزنگاری‌شده پسوند .Nano را اضافه می‌کند. مهاجمان با استفاده از دسترسی‌های سرویس رومیزی از راه دور (Remote Desktop Services) سیستم قربانی را آلوده می‌کنند.

انتشار ابزار مهندسی معکوس متعلق به آژانس امنیت ملی آمریکا در کنفرانس امنیتی RSAConference

در کنفرانس امنیتی RSAConference یک چارچوب امنیتی برای مهندسی معکوس منتشر خواهد شد که توسط آژانس امنیت ملی آمریکا توسعه داده شده است. این چارچوب GHIDRA  نام دارد. در ماه مارس سال ۲۰۱۷ میلادی، ویکی‌لیکس اسنادی را که به سازمان سیا تعلق داشت منتشر کرد و از ابزارهای امنیتی و نفوذ که در اختیار این سازمان قرار داشت، پرده برداشت. در بین این اسنادی، وجود ابزاری برای مهندسی معکوس با همین نام به چشم می‌خورد. طبق آنچه مطرح شده، این ابزار توسط آژانس امنیت ملی آمریکا در کنفرانس RSAC 2019 منتشر شده  و بر روی بسترهای ویندوز، لینوکس و macOS قابل استفاده است. 

صفحه‌ها