انتشار شده در تاریخ 1399/02/27 - 13:21

شناسایی نسخه جدید بدافزار COMPfun

کارشناسان کسپرسکی نسخه جدیدی از بدافزار «COMPfun» شناسایی کردند.

به گزارش کارگروه امنیت سایبربان؛ کارشناسان آزمایشگاه کسپرسکی در گزارشی تازه از شناسایی نسخه جدید بدافزار کامپ‌فان (COMPfun) خبر دادند.

طبق گزارش کارشناسان این آزمایشگاه، نسخه جدید کامپ‌فان قادر است دستگاه‌های قابل‌حمل یواس‌بی را نیز که به هاست‌های آلوده متصل هستند، آلوده سازد تا از این طریق سیستم‌های ایزوله را نیز آلوده کند.

این بدافزار در نسخه جدید شیوه ارتباط با سرورفرماندهی و کنترل خود را نیز تغییر داده و با بهره‌گیری از کدهای وضعیت HTTP با سرور کنترل ارتباط برقرار می‌کند. کامپ‌فان جدید به‌عنوان سرور و بخش‌های مختلف آن به‌عنوان کلاینت عمل می‌کنند.

کامپ‌فان یک تروجان دسترسی از راه دور بوده و اطلاعات سیستم قربانی را سرقت می‌کند. این بدافزار قادر است اسکرین‌شات گرفته و کلیدهای فشرده‌شده صفحه‌کلید را ثبت کند.

طبق گفته کارشناسان کسپرسکی، کدهای مورداستفاده در کامپ‌فان در بدافزار ردوکتور (Reductor) نیز مورداستفاده قرارگرفته‌اند.

ردوکتور بدافزاری است که ترافیک رمزگذاری‌شده TLS را در لحظه و بلادرنگ رمزگشایی می‌کند. مهاجمان با بهره‌گیری از این بدافزار و رایانه‌های آلوده به کامپ‌فان حملات مورد نظر خود را انجام می‌دهند.

هکرها پس از آلوده سازی سیستم، با استفاده از ردوکتور مرورگرهای کروم و فایرفاکس را هدف قرار داده و عملکرد مولد اعداد شبه تصادفی را دست‌کاری می‌کنند. این امر به اپراتورهای بدافزار امکان رمزگشایی و سرقت ترافیک از طریق HTTPS را می‌دهد.

نسخه جدید کامپ‌فان همچون نسخه‌های قبلی نهادهای دیپلماتیک را در کشورهای مستقل هم‌سود هدف قرار داده و پشت نقاب فرم‌های درخواست ویزا مخفی می‌شود.