پایگاه خبری تحلیلی اخبار محرمانه

آخرين مطالب

انتشار نسخه جدید تروجان Adwind و دور زدن نرم‌افزارهای ضدویروس سياسي

انتشار نسخه جدید تروجان Adwind و دور زدن نرم‌افزارهای ضدویروس

  بزرگنمايي:

اخبار محرمانه - به گزارش گرداب ، این RAT که با نام Adwind شناخته می‌شود، پیش‌تر صنایع مختلفی را در جهان مورد هدف قرار داده است. این تروجان اکنون مجهز به toolkit جدیدی است تا بتواند از سیستم‌ها سوءاستفاده کند.
تروجان توسط Cisco Talos و ReversingLabs مورد بررسی قرار گرفته است. این تروجان هم‌چنین با نام‌های AlienSpy، JSocket و jRat نیز شناخته می‌شود و دارای قابلیت‌های زیادی است. تروجان قادر به جمع‌آوری اطلاعات رایانه و کلیدهای فشرده شده توسط کاربر است، همچنین اطلاعات احراز هویت و اطلاعات ارسال شده از طریق فرم‌های وب را نیز به سرقت می‌برد.
بدافزار قادر به ضبط ویدئو، صدا و گرفتن تصاویر اسکرین‌شات نیز است. علاوه بر این، تروجان می‌تواند فایل‌های سیستم را بدون اطلاع کاربر منتقل کند. در نسخه‌های جدیدتر این تروجان، تلاش برای سرقت کلیدهای رمزنگاری برای دسترسی به کیف پول مجازی در سیستم‌های آلوده نیز انجام می‌شود.
تروجان ابتدا از طریق عملیات فیشینگ منتقل می‌شود و سپس بدنه مخرب که بصورت فایل JAR است را بارگیری می‌کند و پس از اجرا به سرور کنترل و فرمان (C&C) متصل می‌شود و بدنه‌های بیش‌تر را بارگیری می‌کند تا داده‌های سیستم آلوده را به سرقت ببرد.
این بدافزار در گذشته با حداقل 400 هزار حمله علیه کسب‌وکارها در امور مالی، تولید، حمل و نقل و صنعت مخابرات مرتبط بوده است. در حملات اسپمی جدید که در ماه آگوست مشاهده شده است، از Adwind 3,0 که آخرین نسخه آن است استفاده شد. در این حملات سیستم‌های ویندوز، لینوکس و مک مورد هدف قرار گرفتند.
هم‌چنین در حملات از روش تزریق کد DDE برای نفوذ به اکسل و دور زدن برنامه‌های ضد ویروس مبتنی بر امضا بهره‌برداری شده است. در عملیات فیشینگ پیام‌های مخرب حاوی فایل‌های CSV و XLT (هر دو به صورت پیش‌فرض با نرم‌افزار اکسل باز می‌شوند) ارسال می‌شوند. فایل‌های مخرب دارای یک یا دو dropper هستند که از تزریق DDE بهره می‌برند. dropper از پسوندهای مختلفی از جمله htm، xlt، xlc و db استفاده می‌کند.
پژوهشگران Cisco Talos می‌گویند که تکنیک جدیدی برای مبهم‌سازی در حملات استفاده شده است که از طریق آن بخش اول فایل بدون سرایند است و برنامه‌های ضدویروس را به اشتباه می‌اندازد. در واقع ضد ویروس به جای تشخیص فایل مخرب به عنوان یک dropper، آن‌ را به عنوان یک فایل خراب تشخیص می‌دهد.
کد مخرب یک اسکریپت Visual Basic را ایجاد می‌کند که از bitasdmin بهره می‌برد. ابزار bitasdmin نرم‌افزار قانونی مایکروسافت است که یک ابزار مبتنی بر خط فرمان (command-line) برای ایجاد، بارگیری یا بارگذاری فعالیت‌ها و نظارت بر فرایند پردازشی آن‌هاست. در کد مخرب از این ابزار برای بارگیری بدنه نهایی که یک فایل Java دارای بسته Allatori Obfuscator است، سوء استفاده شده است. این بسته در ادامه از حالت فشرده خارج می‌شود و تروجان Adwind را پیاده‌سازی می‌کند.
منبع: خبرگزاری ایسنا




نظرات شما

ارسال دیدگاه

Protected by FormShield

ساير مطالب

تلاش موفقیت‌آمیز ایران در سازمان ملل

نماینده گرگان رحمانی فضلی را تهدید کرد

واعظی: برای سال جدید باید مراقب باشیم

ذوالنور: مردم می گویند دولت نداشتیم کشور بهتر اداره می شد!

پیام نوروزی یا پیام تحقیرآمیز؟

پرونده‌های داغ هیئت نظارت بر نمایندگان در سال 97

پاسخ محکم ظریف به خوش خدمتی آمریکا به صهیونیست‌ها

واکنش محمود صادقی به غیبت استاندار گلستان در زمان بحران

کنار کشیدن احتمالی برخی نمایندگان از انتخابات آینده

وعده 5 رقیب ترامپ درباره ایران

فرانسه پروازهای ماهان ایر ایران را ممنوع کرد

درخواست از کشورهای اسلامی؛ تحقیر بس است

برنامه نمایندگان برای رفع گلایه‌های رهبر انقلاب

لاریجانی؛ گزینه محتمل انتخابات 1400

محاکمه‌های پر سر و صدای سال 97

سردار کوثری: هر جا به جوانان اعتماد کردیم، برنده بودیم

ابراز همدردی سیدحسن خمینی با آسیب‌دیدگان سیل اخیر

دستگاه قضایی ایران می‌تواند آمریکا را محاکمه کند؟

پیشنهاد ویژه برای نمایندگان بازنشسته

چشم‌انداز آینده ایران از نگاه میرسلیم

نماهنگ خروج عملی اروپا از برجام

ارتباط مرموزانه مقامات دولت آمریکا با منافقین

گلستان در سیل، استاندار در خارج کشور!

رسایی به روحانی: ارتباط وزیر اقتصاد با سیل چیه؟!

ادعای رویترز درباره تاکتیک ایران برای دور زدن تحریم

بازی دوگانه ژرمن‌ها با اینستکس

اعتراف دیپلمات سابق آمریکایی درباره «اینستکس»

پاسخ وزارت کشور به کامنت موجود در صفحه حسام الدین آشنا

نماینده مجلس: باید تیم جدید با تفکر جهادی روی کار بیاید

تفکر نومحافظه‌کاران دولت ترامپ درباره ایران

معاون احمدی‌نژاد از تبدیل یک تهدید به فرصت گفت

دولتی‌ها در سال 97 چقدر تذکر گرفتند؟

تنگه هرمز؛ برای همه یا هیچ‌کس!

تلاش ژاپن برای برخورداری از معافیت‌های تحریمی ایران

داد رئیس کمیسیون امنیت ملی مجلس درآمد

رایزنی ایران برای آزادی دو مرزبان ربوده شده

پمپئو در بیروت به هدف ضدایرانی خود رسید؟

دولت به سیل‌زدگان قول داد

خاطره هاشمی‌طبا از برخورد هاشمی با جسارت‌ها

پاسخ توئیتری کدخدایی به مطهری

موشک‌های مورد نظر رهبر انقلاب در سخنرانی مشهد

ظریف در توئیتر آمریکا را تحقیر کرد

رئیس‌جمهور در پیام نوروزی سال نو: مردم را از لحاظ خدمات دولتی، در رفاه بیشتری قرار خواهیم داد

رهبر انقلاب با نامگذاری سال 1398 به عنوان «رونق تولید» تاکید کردند: راه حل مشکل معیشت مردم رونق تولید است

توضیحات کدخدایی در مورد مخالفت شورای نگهبان با معافیت و بخشودگی جرایم بدهکاران بانکی

واکنش ایران به قطعنامه جدید شورای حقوق بشر سازمان ملل

عبدخدایی: با تمام توان باید در این جنگ اقتصادی علیه قدرت پوشالی غرب بجنگیم

سفیر ایران در ژنو: قطعنامه علیه ایران توسط سوئد سیاسی است

خبر خوش در آغاز سال نو؛ 4 مرزبان ربوده شده به میهن بازگشتند

توصیه الله‌کرم به روحانی