بدافزار COVID-19، تهدید جدید در دنیای تکنولوژی!

بدافزار COVID-19، تهدید جدید در دنیای تکنولوژی!
محققان امنیتی بدافزارهایی با مضمون coronavirus را کشف کرده اند که برای از بین بردن رایانه های کاربران ایجاد شده است. با وجود همه گیری کروناویروس (COVID-19) در سراسر جهان ، برخی از نویسندگان بدافزار، بدافزاری ایجاد کرده اند که با پاک کردن پرونده ها یا بازنویسی رکورد اصلی بوت کامپیوتر  (MBR) سیستم های آلوده را از بین می برد . این بدافزار COVID-19 نام دارد.

 

با کمک جامعه InfoSec ،ZDNet حداقل پنج رویه از بدافزار COVID-19 را شناسایی کرده است. برخی از آنها با هدف تخریب توزیع شده اند، در حالی که به نظر می رسد برخی دیگر فقط به عنوان آزمایش یا شوخی توزیع شده اند.

موضوع مشترک در چهار نمونه از این بررسی این است که آنها از موضوع coronavirus استفاده می کنند و به جای سود مالی ، به سمت تخریب می روند.

 

بدافزار بازنویسی MBR

 

از بین چهار نمونه بدافزار COVID-19، که ماه گذشته توسط محققان امنیتی یافت شده، پیشرفته ترین آنها دو نمونه هستند که بخش های MBR را بازنویسی می کنند.

برای ایجاد این گونه بدافزار ها نیاز به دانش فنی پیشرفته وجود دارد، زیرا بازنویسی MBR کار آسانی نیست و این عمل به راحتی می تواند منجر به از کار انداختن کامل سیستم شود. اولین مورد بازنویسی MBR توسط یک محقق امنیتی به نام MalwareHunterTeam کشف شد و در گزارش این هفته توسط SonicWall شرح داده شده است. این بدافزار با استفاده از نام COVID-19.exe، یک کامپیوتر را دو مرحله آلوده میکند.

در مرحله اول ، فقط یک پنجره آزار دهنده نشان می دهد که کاربران نمی توانند آن را ببندند زیرا این بدافزار Windows Task Manager را غیرفعال کرده است.

 

بدافزار COVID-19

 

در حالی که کاربران سعی در کنار آمدن با این پنجره دارند، بدافزار COVID-19 در سکوت در حال بازنویسی اسناد بوت رایانه در پس زمینه است. سپس رایانه را مجدداً راه اندازی می کند و MBR جدید شروع به کار می کند و کاربران را به پیش صفحه بوت مسدود می فرستد.

در نهایت کاربران می توانند دسترسی به رایانه های خود را مجدداً به دست آورند، اما به برنامه های ویژه ای احتیاج دارند که می توانند برای بازیابی و بازسازی MBR در حالت کار، مورد استفاده قرار گیرند.

 

بدافزار COVID-19

 

اما دومین بدافزار با مضمون coronavirus وجود دارد که MBR را دوباره می نویسد. این یک بدافزار با عملیاتی بسیار پیچیده تر است.

این عنوان “باج افزار CoronaVirus”  بود اما فقط یک نما از یک باج افزار بود. وظیفه اصلی این بدافزار دزدیدن رمزهای عبور از میزبان آلوده و سپس تقلید از باج افزار برای فریب کاربران بود.

با این حال، این مورد نیز باج افزار نبود و فقط به عنوان یک باج افزار خود را مطرح میکند. پس از پایان عملیات سرقت داده ها، این بدافزار وارد مرحله ای شد که MBR را بازنویسی می کند، و کاربران را با یک پیام از پیش بوت شدن مسدود می کند و از دسترسی کاربر به رایانه های شخصی جلوگیری می کند. کاربران با دیدن یادداشتهای باج و سپس عدم دسترسی به رایانه های شخصی خود، آخرین کاری که می توانند انجام دهند این است که بررسی کنند آیا کسی رمزهای عبور را از برنامه های آن ها خارج کرده است یا خیر.

طبق آنالیز محقق امنیتی SentinelOne Vitali Kremez و Bleeping Computer، این بدافزار COVID-19، حاوی کد برای پاک کردن پرونده ها در سیستم های کاربر است، اما به نظر نمی رسد در این نسخه فعال باشد.

 

بدافزار COVID-19

 

نسخه دوم آن دو هفته بعد توسط محقق بدافزار G DATA کشف شد. این بار، این بدافزار قابلیت بازنویسی MBR را حفظ کرده، اما ویژگی پاک کردن داده را با یک قفل صفحه نمایش عملکردی جایگزین کرده است.

پاک کننده اطلاعات (Data Wiper)

 

اما محققان امنیتی موارد بیشتری از بازنویسان MBR با مضمون coronavirus یافتند. آنها همچنین دو پاک کننده داده را مشاهده کردند که هر دو توسط MalwareHunterTeam کشف شدند.

اولین مورد در ماه فوریه مشاهده شد. که از یک نام پرونده چینی استفاده می کرد، و به احتمال زیاد کاربران چینی را هدف قرار می داد، اگرچه ما اطلاعاتی در مورد روش توزیع آن به صورت عمومی یا آزمایشی نداریم.

مورد دوم دیروز مشاهده شد که توسط شخصی مستقر در ایتالیا در پورتال VirusTotal بارگذاری شد.

MalwareHunterTeam به دلیل روشهای ناکارآمد، مستعد خطا و وقت گیر بودن آنها برای پاک کردن پرونده ها در سیستم های آلوده، هر دو گونه را به عنوان “پاک کننده ضعیف” توصیف کرد. با این حال، عملکرد این آلودگی ها به گونه ای بوده که باعث می شد آنها در صورت گسترش هر چه بیشتر، خطرناک شوند.

شاید عجیب به نظر برسد که برخی نویسندگان بدافزار، مواردی مانند این بدافزارهای مخرب ایجاد می کنند، اما اولین بار نیست که این اتفاق می افتد. برای هر نوع بدافزار با انگیزه مالی که محققان امنیتی آن را کشف می کنند، یک مورد نیز وجود دارد که به عنوان یک شوخی ایجاد شده است، به عنوان مثال؛ اتفاق مشابهی در حین شیوع باج افزار WannaCry در سال ۲۰۱۷ روی داد. هنگامی که روزها بعد از رایانه های رمزگذاری شده باج افزار WannaCry اصلی در سراسر جهان، تعداد بیشماری از کلون ها بدون هیچ دلیل مشخص همان کار را انجام دادند.

برای کسب اطلاعات بیشتر با کارشناسان ما تماس بگیرید!

منبع : https://www.zdnet.com

تهیه شده توسط : حسام اصغری

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *