about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
امنیت سیستم عامل
مطالب پربازدید
بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

در
1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

در غم از دست دادن پدر امت به سوگ نشسته ایم

بزرگ‌ترین
1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

انتشار شده در تاریخ

انتشار بدافزار LimeRAT با یک تکنیک رمزگذاری در Excel

مهاجمان در کارزاری جدید با استفاده از یک تکنیک قدیمی رمزگذاری در فایل‌های Excel در حال انتشار تروجان LimeRAT هستند.

به گزارش کارگروه امنیت سایبربان ؛ به نقل از پایگاه اینترنتی ZDNet، بدافزار LimeRAT یک تروجان دسترسی از راه دور (Remote Access Trojan) ساده قابل‌اجرا بر روی ماشین‌های با سیستم‌عامل Windows است. بدافزار قادر است تا با نصب درب‌های پشتی (Backdoor) بر روی ماشین‌های آلوده و رمزگذاری فایل‌های موردنظر خود دستگاه را تحت سیطره شبکه مخرب (Botnet) قرار داده و ابزارهای استخراج‌کننده ارز رمز (Cryptocurrency Miner) را بر روی آن نصب کند.
LimeRAT مبتنی بر ماژول بوده و یکی از ماژول‌های آن امکان انتشار این تروجان را از طریق حافظه‌های USB متصل به دستگاه فراهم می‌کند. LimeRAT در صورت تشخیص اجراشدن بر روی یک ماشین مجازی اقدام به حذف خود می‌کند. (تحلیلگران بدافزار معمولاً از بسترهای مجازی برای کالبدشکافی کدهای مشکوک و مخرب استفاده می‌کنند و برخی بدافزارها به‌منظور ناکام گذاشتن بررسی آن‌ها از تکنیک‌های موسوم به ضدماشین‌مجازی بهره می‌گیرند.) قفل‌کردن صفحه‌نمایش و سرقت مجموعه‌ای از داده‌ها و ارسال آن‌ها به سرور فرماندهی (C۲) با استفاده از رمزگذاری AES از دیگر توانایی‌های LimeRAT است.
در کارزار جدیدی که Mimecast جزییات آن را منتشر کرده کد مخرب LimeRAT در فایل‌های Excel با ویژگی فقط خواندنی (Read-only) جاسازی‌شده و در قالب ایمیل‌های فیشینگ به کاربران ارسال می‌شود. در حقیقت این فایل‌ها بجای قفل شدن، فقط خواندنی بوده و در عین رمزدار بودن از ورود رمز عبور بی‌نیاز هستند.
برای رمزگشایی فایل، به‌محض باز شدن، Excel تلاش می‌کند تا از رمزعبور تزریق‌شده و پیش‌فرض VelvetSweatshop که سال‌ها قبل توسط برنامه‌نویسان Microsoft در نسخ این نرم‌افزار لحاظ شده بود استفاده کند. در صورت موفقیت، فایل رمزگشایی‌شده و ماکروی درون آن، درعین‌حال که فایل همچنان فقط خواندنی است اقدام به اجرای کد مخرب می‌کند.
معمولاً درصورتی‌که رمزگشایی با شکست مواجه شود از کاربر درخواست رمز عبور می‌شود. اما فقط خواندنی بودن فایل موجب صرف‌نظر کردن نرم‌افزار از درخواست رمز عبور و درنتیجه کاهش‌ مراحل آلوده‌سازی سیستم می‌شود. ضمن اینکه به‌غیراز اعلام فقط خواندنی بودن فایل هیچ پنجره هشداری که سبب مشکوک شدن کاربر به ماهیت مخرب فایل گردد نمایش داده نمی‌شود.
تکنیکی که در کارزار اخیر مورداستفاده قرارگرفته ناشی از وجود رمز عبور VelvetSweatshop در نرم‌افزار Excel است که نخستین بار در سال ۲۰۱۳ در جریان یکی از کنفرانس‌های Virus Bulletin علنی شد. به آسیب‌پذیری مربوط به این رمز عبور ایستا، پیش‌فرض و تزریق‌شده شناسه CVE-۲۰۱۲-۰۱۵۸ تخصیص‌یافته است.
درحالی‌که این آسیب‌پذیری مدت‌ها قبل‌ترمیم شده اما شرکت امنیتی Sophos پیش‌تر در گزارش زیر اعلام کرده بود که CVE-۲۰۱۲-۰۱۵۸ برای سال‌ها به‌صورت قابل‌توجهی مورد بهره‌جویی قرار می‌گرفته است.

به گفته Mimecast، مهاجمان با این روش رمزگذاری و مخفی کردن بهره‌جو و کد مخرب سعی در عبور از سد محصولات ضد بدافزاری دارند.

همچنین مایکروسافت از مورد بهره‌جویی قرار گرفتن مجدد آسیب‌پذیری CVE-۲۰۱۲-۰۱۵۸ مطلع شده است.

منبع:

افتا

موضوع:

تازه ترین ها
تغییر
1405/04/02 - 11:39- هوش مصنوعي

تغییر الگوهای اشتغال در ایالات متحده توسط هوش مصنوعی

شکاف فزاینده‌ای در رشد اشتغال بین مشاغل پرخطر و کم‌خطر، به‌ویژه پس از سال ۲۰۲۲، در بازار کار ایالات متحده وجود دارد.

هک
1405/04/02 - 10:37- جنگ سایبری

هک کانال رسمی شهردار مسکو با پیام‌های حامی اوکراین

هکرها کانال رسمی شهردار مسکو را برای ارسال پیام‌های طرفدار اوکراین هک کردند.

تصویب
1405/04/02 - 10:13- هوش مصنوعي

تصویب طرح ملی هوش مصنوعی در سرزمین‌های اشغالی

رژیم صهیونیستی طرح ملی هوش مصنوعی را با هدف تبدیل شدن به قدرت برتر فناوری تصویب کرد.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.