مطالب پربازدید

1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

1403/11/17 - 09:27- تروریسم سایبری

یک اندیشکده آمریکایی حملات سایبری منتسب به ایران را اغراق‌آمیز توصیف کرد

اندیشکده FDD ادعا کرد که ایران اغلب یک بازیگر سایبری درجه دوم است که هکرهای آن به طور مرتب از عملیات‌های نفوذ فقط برای تحریک و ایجاد وحشت استفاده می‌کنند.

کامیار عزیزی

انتشار شده در تاریخ 1402/08/08 - 09:15

استفاده از بدافزار گوست پالس برای آلوده کردن رایانه های شخصی ویندوزی

یک کمپین حمله سایبری جدید با استفاده از فایل‌های بسته برنامه ویندوز جعلی ام اس آی اکس برای نرم‌افزارهای محبوبی مانند گوگل کروم، مایکروسافت اج، بریو، گرامرلی و سیسکو وبکس، برای توزیع یک بدافزار جدید با نام گوست پالس مشاهده شده است.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، جو دسیمون، محقق آزمایشگاه امنیتی الاستیک (Elastic Security Labs) در گزارشی فنی که هفته گذشته منتشر شد، گفت:

ام اس آی اکس (MSIX) یک قالب بسته برنامه ویندوزی است که توسعه دهندگان می توانند از آن برای بسته بندی، توزیع و نصب برنامه های خود برای کاربران ویندوز استفاده کنند. با این حال، ام اس آی اکس نیاز به دسترسی به گواهی‌های امضای کد خریداری‌شده یا دزدیده شده دارد و آن‌ها را برای گروه‌هایی از منابع بالاتر از میانگین قابل استفاده می کند.

بر اساس نصب‌کننده‌هایی که به‌عنوان فریب استفاده می‌شوند، گمان می‌رود که اهداف بالقوه از طریق تکنیک‌های شناخته‌شده مانند وب‌سایت‌های در معرض خطر، مسمومیت بهینه‌سازی موتور جستجو (SEO) یا تبلیغات نادرست، فریفته شوند تا بسته‌های ام اس آی اکس را دانلود کنند.

با راه‌اندازی فایل ام اس آی اکس، یک ویندوز باز می‌شود که از کاربران می‌خواهد روی دکمه نصب کلیک کنند، که این کار منجر به دانلود مخفیانه بدافزار گوست پالس (GHOSTPULSE) روی میزبان در معرض خطر از یک سرور راه دور ("manojsinghnegi[.]com) از طریق یک اسکریپت پاورشل (PowerShell) می‌شود.

این فرآیند در چندین مرحله انجام می شود، با اولین بار یک فایل بایگانی تار (TAR) حاوی یک فایل اجرایی که به عنوان سرویس باکس مجازی اوراکل (Oracle VM VirtualBox (VBoxSVC.exe)) ظاهر می شود، اما در واقع یک باینری قانونی است که با نوت پد ++ (Notepad++ (gup.exe)) همراه است.

همچنین در بایگانی تار، فایل handoff.wav و یک نسخه تروجانیزه شده از libcurl.dll وجود دارد که با سوء استفاده از این واقعیت که فایل gup.exe در برابر بارگذاری جانبی دی ال ال (DLL) آسیب پذیر است، برای انتقال فرآیند آلودگی به مرحله بعدی بارگذاری شده است.

دیسیمون گفت:

پاورشل VBoxSVC.exe، باینری را اجرا می کند که از دایرکتوری فعلی، دی ال ال مخرب libcurl.dll را بارگیری می کند. با به حداقل رساندن ردپای کدهای مخرب رمزگذاری شده روی دیسک، عامل تهدید می تواند از اسکن ویروس ها (AV) و یادگیری ماشینی (ML) مبتنی بر فایل، فرار کند.

فایل دی ال ال دستکاری شده، متعاقباً با تجزیه handoff.wav ادامه می‌یابد، که به نوبه خود، یک بسته رمزگذاری شده را بسته بندی می‌کند که از طریق mshtml.dll، روشی به نام استامپ زدن ماژول، رمزگشایی و اجرا می‌شود تا در نهایت بدافزار گوست پالس بارگذاری شود.

این بدافزار به عنوان یک لودر عمل می کند و از تکنیک دیگری به نام فرآیند داپل گنگینگ (doppelgänging) برای شروع اجرای بدافزار نهایی استفاده می کند که شامل سکتاپ رت (SectopRAT)، رادامانتیز (Rhadamanthys)، ویدار (Vidar)، لوما (Lumma) و نت ساپورت رت (NetSupport RAT) است.