انتقال بدافزار مخرب Ursnif از طریف ایمیل های اسپم
سیاسی
بزرگنمايي:
اخبار محرمانه - به گزارش گرداب ، به نقل از پژوهشگران Yoroi، در ایمیلها از پیوستهایی استفاده شده که محتوای آنها یک فایل جاوااسکریپت است. این فایل پس از اجرا مولفههای مخرب دیگری را دریافت و سیستم قربانی را آلوده میکند.
فایل جاوااسکریپت در ابتدا شروع به ایجاد ترافیک زیادی میکند تا شناسایی زیرساخت مخرب را دشوار کند. این کار از طریق ایجاد مجموعهای از URLهای تصادفی و اتصال ناموفق به آنها انجام میشود که منجر به تولید حجم ترافیک بالا در محیطهای تحلیل میشود.
بدافزار در مرحله دوم فرایندهای مخرب خود از فایل ppc.cab استفاده میکند که این فایل در مرحله اول در مسیر %APPDATA%\Roaming قرار داده شده است. درون این فایل یک فایل اجرایی با نام puk.exe وجود دارد. این فایل از فرایندهای پردازشی مرورگر اینترنت اکسپلورر استفاده میکند تا فعالیت شبکه خود را مخفی کند.
بدافزار در مرحله سوم فعالیتهایی را انجام میدهد تا پایداری خود را در سیستم حفظ کند و برای مدت بیشتری در سیستم قربانی بماند. این کار با تعیین کلیدهای رجیستری انجام میشود.
نشانههای آلودگی (IoC):
آدرس دریافت ppc.cab:
• hxxp:// groupschina.]com/tss/ppc.cab
سرورهای C&C:
• 149,129.129.1
• 47,74.131.146
• 176,9.118.142
• grwdesign[.com
• rest.relonter[.at
• web2003.uni[.net
• web2341.uni5[.net
• in.ledalco[.at
• int.nokoguard[.at
• io.ledalco[.at
• rest.relonter[.at
• apt.melotor[.at
• torafy[.cn
هشها:
• 81798ea125359ca4e618a5619cd856f95f3fb809f5f3022a42563bd3b627f2ca - puk.exe
• 076a2fea06c3605927bd0d3acc4ed11db3c36a829aced06081c2e3ac9971f347 -35623802.bat
• f2cd58860b6085b63634980a641ebcd9b4148982d681cad88f00b08b341c7bc1 - ppc.cab
منبع: افتا
لینک کوتاه:
https://www.akhbaremahramaneh.ir/Fa/News/50289/