انتشار شده در تاریخ 1401/03/19 - 11:24

شناسایی بدافزار پیشرفته WinDealer توسط کسپرسکی

آزمایشگاه کسپرسکی بدافزار پیشرفته‌ای به نام WinDealer شناسایی کرد.

به گزارش کارگروه امنیت سایبربان؛ محققان آزمایشگاه کسپرسکی بدافزاری به نام وین‌دیلر (WinDealer) شناسایی کردند که قادر است حملات شخص کناری (man-on-the-side) انجام دهد. چنین حملاتی را فقط هکرهای زبده انجام می‌دهند و در آن‌ها بدافزار وارد ترافیک شبکه قانونی قربانی می‌شود.

گروهی که اقدام به انتشار وین‌دیلر می‌کند، لویو (LuoYu) نام دارد و سازمان‌های دیپلماتیک خارجی، اعضای جامعه دانشگاهی، شرکت‌های دفاعی، لجستیکی و مخابراتی در چین، آلمان، اتریش، ایالات‌متحده آمریکا، جمهوری چک، روسیه و هند از اهداف اصلی آن به شمار می‌روند.

در حمله شخص کناری که به حمله مردمیانی (Man-in-the-middle) شباهت دارد، مهاجم درخواست‌هایی برای اتصال به یک منبع مشخص در شبکه را می‌بیند. این امر از طریق هایجک داده‌ها یا به دلیل موقعیت استراتژیک در شبکه ارائه‌دهنده خدمات اینترنتی اتفاق می‌افتد. سپس سریع‌تر از سرور قانونی به قربانی پاسخ می‌دهد و نسخه آلوده فایل درخواستی را ارسال می‌کند. حتی اگر مهاجمان بار اول موفق نشوند، به تلاش خود ادامه می‌دهند تا زمانی که با بارگذاری یک برنامه جاسوسی، اکثر دستگاه‌ها را آلوده سازند. با استفاده از این برنامه، می‌توانند فایل‌های ذخیره‌شده در دستگاه را مشاهده و بارگیری کنند و همچنین با کلمات کلیدی به جستجو بپردازند.

به گفته محققان، برای دفاع در برابر چنین حمله‌ای بایستی ترافیک را از طریق شبکه دیگری، به‌عنوان‌مثال با وی‌پی‌ان هدایت کرد.

برطبق گزارش کسپرسکی، علاوه بر این روش توزیع، وین‌دیلر یک ویژگی جالب دیگری نیز دارد. اغلب بدافزار حاوی داده‌های رمزگذاری شده در مورد سرور فرماندهی و کنترل است. چنانچه یک متخصص امنیت اطلاعات، آدرس چنین سروری را دریافت کرده باشد، می‌تواند آن را مسدود کرده و تهدید را خنثی کند. این بدافزار از یک الگوریتم برای تولید آدرس‌های آی‌پی استفاده می‌کند و سپس از بین 48000 آدرس انتخاب می‌کند که با کدام‌یک به‌عنوان سرور کار کند.

دِنیس لِگِزو، کارشناس ارشد امنیت سایبری آزمایشگاه کسپرسکی دراین‌باره می‌گوید:

در سال 2019، این گروه، بدافزار را از طریق وب‌سایت‌های آلوده توزیع می‌کرد. می‌توان گفت که تا سال 2021 آن‌ها به کلوب معدود افرادی که می‌توانند ترافیک شبکه را دست‌کاری کنند، پیوسته‌اند. علاوه بر توزیع‌های آلوده برنامه‌های قانونی، انتخاب آدرس شبکه سرور کنترل از میان تعداد انبوه نمونه‌های تولیدشده هم به این اشاره دارد. ازنقطه‌نظر حفاظت، کاربران باید در نظر داشته باشند که ورود به ترافیک HTTPS بسیار دشوارتر است و اگر به شبکه اپراتور اعتمادی نباشد و گزینه وی‌پی‌ان به دلایلی در دسترس نباشد، حداقل نباید اسکریپت‌ها و برنامه‌ها را از طریق پروتکل HTTP رمزگذاری نشده دانلود کرد. پیش از دانلود توزیع‌ها، بررسی کنید که سایت نه‌تنها صفحات، بلکه فایل‌ها را نیز به‌صورت رمزگذاری شده ارائه می‌دهد.