توسعه AZORult به روش‌های پیشرفته جدید

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

توسعه AZORult به روش‌های پیشرفته جدید

q784

نسخه به‌روزرسانی شده جاسوس‌افزار AZORult به عنوان بدنه اصلی در یک حمله گسترده اسپمی استفاده شد.
یک نسخه به‌روزرسانی شده از جاسوس‌افزار AZORult، به عنوان بدنه اصلی در یک حمله گسترده اسپمی استفاده شده‌است.

جاسوس‌افزار AZORult قادر به سرقت اطلاعات و دانلود بدافزارهای اضافی است. این جاسوس‌افزار از سال ۲۰۱۶، زمانی که پژوهشگران Proofpoint آن را به‌عنوان بخشی از تروجان بانکی Chthonic شناسایی کردند در حال فعالیت است. پس از آن، استفاده از این جاسوس‌افزار در حملات اسپم رایج شد. در حال حاضر، نویسندگان این جاسوس‌افزار نسخه جدیدی از آن را منتشر کرده‌اند. کد به‌روزرسانی شده قابلیت‌های پیشرفت‌های را در خود جای داده‌است، از قبیل: امکان سرقت تاریخچه از مرورگرهای غیر مایکروسافتی، تعیین پارامترهای مشخصی قبل از اجرای کامل بدافزار، پشتیبانی از کیف پول ارزهای دیجیتالی Exodus، Jaxx، Mist، Ethereum، Electrum و Electrum-LTC؛ قابلیت استفاده از پراکسی‌های سیستم و چندین ترفند مدیریتی مانند آگاهی از مکان سیستم و قابلیت حذف آسان گزارش‌های جاسوسی فاقد اطلاعات سودمند.

در پنل مدیریت بدافزار قابلیت منحصربه‌فردی وجود دارد که مهاجم می‌تواند قوانینی را برای حمله به قربانیان تعیین کند تا بازدهی حملات افزایش یابد؛ برای مثال، مهاجم می‌تواند تعیین کند که بدافزار وجود رمزعبورهای ذخیره شده یا کوکی‌های موجود از وب‌سایت‌های خاصی را در سیستم قربانی بررسی کند. همچنین مهاجم این قابلیت را دارد که بدافزار را به گونه‌ای تنظیم کند که وجود اطلاعات مربوط به کیف پول ارز دیجیتالی در سیستم قربانی را تایید کند.

پس از اتصال به سرور C&C، دستگاه آلوده چهار نوع گزارش را ارسال می کند: یک فایل info شامل اطلاعات پایه‌ای مانند نسخه ویندوز و نام رایانه؛ فایل pwds حاوی رمزعبورهای سرقت شده؛ فایل cooks شامل کوکی‌ها یا سایت‌های بازدید شده و فایل حاوی محتویات فایل‌های کوکی و یک فایل حاوی اطلاعات بیشتر از سیستم شامل شناسه دستگاه، نسخه ویندوز، نام رایانه، وضوح صفحه، زمان محلی، منطقه زمانی، مدل پردازنده، تعداد پردازنده، RAM، اطلاعات کارت گرافیک، لیست فرایندهای پردازشی دستگاه آلوده و نرم‌افزارهای نصب شده بر روی دستگاه آلوده.

به گفته پژوهشگران، پس از جاسوسی اولیه، دریافت پیکربندی و استخراج اطلاعات به سرقت رفته از دستگاه قربانی، جاسوس افزار احتمالا بدنه بعدی را دانلود می‌کند. نسخه جدید این جاسوس افزار در یک حمله گسترده ارسال ایمیل اسپم در تاریخ ۱۸ جولای (۲۷ تیر)، مشاهده شده است. این حمله یک روز پس از آغاز انتشار جاسوس افزار در فروم‌های زیرزمینی وب تاریک انجام شده است. پژوهشگران حملات را به عامل تهدید TA۵۱۶ نسبت دادهاند، گروهی که تخصص فراوانی در ارزهای دیجیتالی دارد.

از قابلیت‌های AZORult برای توزیع باج‌افزار Hermes نیز استفاده شده‌است. نکته قابل توجه این حملات نفوذ هم‌زمان یک جاسوس‌افزار و یک باج‌افزار است که این مورد در گذشته کمتر دیده شده‌است. این سبک از حمله برای قربانیانی که اطلاعات احراز هویت، کیف پول ارزدیجیتالی و غیره را در سیستم خود دارند، بسیار مخرب است. حملات شامل هزاران پیام است که با استفاده از تکنیک‌های مهندسی اجتماعی، قربانیان را هدف قرار می‌دهد. برای مثال ایمیل‌هایی با موضوع استخدام شغلی ارسال می‌شوند که کاربر را وادار می‌کنند تا فایل پیوست‌شده را دریافت کند.

برای جلوگیری از شناسایی توسط آنتی‌ویروس‌ها، مهاجمان روشی را به‌کار بردند که فایل سند دانلود شده تا قبل از وارد کردن رمزعبور توسط قربانی، اقدام مخربی انجام نمی‌دهد. پس از وارد کردن رمزعبور و فعال کردن کد ماکرو، AZORult دانلود می‌شود که در ادامه باج‌افزار Hermes ۲,۱ نیز دانلود می‌شود. با توجه به قابلیت‌های سرقت ارزهای دیجیتالی و اطلاعات احرازهویت در بدافزار AZORult، این نرم‌افزار مخرب خسارت‌های مالی زیادی را به کاربران متحمل می‌کند.

مرجع : مرکز مدیریت راهبردی افتا