انتشار نسخه جدید تروجان Adwind و دور زدن نرم افزارهای ضدویروس
به گزارش اخذ ویزا، یک عملیات اسپمی در حال انتشار یک تروجان با دسترسی از راه دور (RAT) است که از چندین روش برای فریب دادن ضدویروس های مبتنی بر امضا استفاده می نماید.
به گزارش خبرنگاران، این RAT که با نام Adwind شناخته می گردد، پیش تر صنایع مختلفی را در دنیا مورد هدف قرار داده است. این تروجان اکنون مجهز به toolkit جدیدی است تا بتواند از سیستم ها سوءاستفاده کند.
تروجان توسط Cisco Talos و ReversingLabs مورد آنالیز قرار گرفته است. این تروجان هم چنین با نام های AlienSpy، JSocket و jRat نیز شناخته می گردد و دارای قابلیت های زیادی است. تروجان قادر به جمع آوری اطلاعات رایانه و کلیدهای فشرده گردیده توسط کاربر است، همچنین اطلاعات احراز هویت و اطلاعات ارسال گردیده از طریق فرم های وب را نیز به سرقت می برد.
بدافزار قادر به ضبط ویدئو، صدا و دریافت تصاویر اسکرین شات نیز است. علاوه بر این، تروجان می تواند فایل های سیستم را بدون اطلاع کاربر منتقل کند. در نسخه های جدیدتر این تروجان، کوشش برای سرقت کلیدهای رمزنگاری برای دسترسی به کیف پول مجازی در سیستم های آلوده نیز انجام می گردد. تروجان ابتدا از طریق عملیات فیشینگ منتقل می گردد و سپس بدنه مخرب که بصورت فایل JAR است را بارگیری می نماید و پس از اجرا به سرور کنترل و فرمان (C&C) متصل می گردد و بدنه های بیش تر را بارگیری می نماید تا داده های سیستم آلوده را به سرقت ببرد.
این بدافزار در گذشته با حداقل 400 هزار حمله علیه کسب وکارها در امور مالی، فراوری، حمل و نقل و صنعت مخابرات مرتبط بوده است. در حملات اسپمی جدید که در ماه آگوست مشاهده گردیده است، از Adwind 3,0 که آخرین نسخه آن است استفاده شد. در این حملات سیستم های ویندوز، لینوکس و مک مورد هدف قرار دریافتد.
هم چنین در حملات از روش تزریق کد DDE برای نفوذ به اکسل و دور زدن برنامه های ضد ویروس مبتنی بر امضا بهره برداری گردیده است. در عملیات فیشینگ پیغام های مخرب حاوی فایل های CSV و XLT (هر دو به صورت پیش فرض با نرم افزار اکسل باز می شوند) ارسال می شوند. فایل های مخرب دارای یک یا دو dropper هستند که از تزریق DDE بهره می برند. dropper از پسوندهای مختلفی از جمله htm، xlt، xlc و db استفاده می نماید. پژوهشگران Cisco Talos می گویند که تکنیک جدیدی برای مبهم سازی در حملات استفاده گردیده است که از طریق آن بخش اول فایل بدون سرایند است و برنامه های ضدویروس را به اشتباه می اندازد. در واقع ضد ویروس به جای تشخیص فایل مخرب به عنوان یک dropper، آن را به عنوان یک فایل خراب تشخیص می دهد.
کد مخرب یک اسکریپت Visual Basic را ایجاد می نماید که از bitasdmin بهره می برد. ابزار bitasdmin نرم افزار قانونی مایکروسافت است که یک ابزار مبتنی بر خط فرمان (command-line) برای ایجاد، بارگیری یا بارگذاری فعالیت ها و نظارت بر فرایند پردازشی آن هاست. در کد مخرب از این ابزار برای بارگیری بدنه نهایی که یک فایل Java دارای بسته Allatori Obfuscator است، سوء استفاده گردیده است. این بسته در ادامه از حالت فشرده خارج می گردد و تروجان Adwind را پیاده سازی می نماید.
منبع: خبرگزاری ایسنا