about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
امنیت شبکه
مطالب پربازدید
بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

در
1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

در غم از دست دادن پدر امت به سوگ نشسته ایم

بزرگ‌ترین
1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

انتشار شده در تاریخ

ارائه بدافزار جدید از طریق نصب کننده‌های نرم‌افزاری جعلی

یک بارگذار چندمرحله‌ای به نام «PNGPlug» بدافزار «ValleyRAT» را از طریق نصب‌کننده‌های نرم‌افزار جعلی ارائه کرد.

به گزارش کارگروه امنیت سایبربان؛ به گفته محققان امنیت سایبری، مجموعه‌ای از حملات سایبری مناطق چینی‌زبان مانند هنگ‌کنگ، تایوان و سرزمین اصلی چین را با بدافزار شناخته شده‌ای به نام «ValleyRAT» هدف قرار داده است.

شرکت نرم‌افزاری اینتزر (Intezer)، واقع در تل‌آویو، در گزارشی فنی اعلام کرد که در این حملات از یک بارگذار چند مرحله‌ای به نام «PNGPlug» برای ارائه بدافزار ValleyRAT استفاده شده است.

زنجیره آلودگی با یک صفحه فیشینگ شروع می‌شود که برای تشویق قربانیان به دانلود بسته مخرب نصب کننده مایکروسافت (MSI)، پنهان شده به عنوان نرم‌افزار قانونی، طراحی شده است.

پس از اجرا، نصب کننده یک برنامه کاربردی را برای جلوگیری از ایجاد سوءظن مستقر می‌کند، درحالی‌که به طور مخفیانه یک بایگانی رمزگذاری شده حاوی بار بدافزار را استخراج می‌کند.

نیکول فیشبین (Nicole Fishbein)، محقق امنیتی، گفت:

«بسته نصب کننده مایکروسافت از ویژگی «CustomAction» نصب کننده ویندوز استفاده و به آن کمک می‌کند تا کدهای مخرب را اجرا کند، از جمله اجرای یک «DLL» مخرب جاسازی شده که بایگانی (all.zip) را با استفاده از رمز عبور رمزگذاری‌شده «hello202411» رمزگشایی می‌کند تا اجزای اصلی بدافزار را استخراج نماید.»

این موارد شامل یک DLL نفوذی (libcef.dll)؛ یک برنامه قانونی (down.exe) که به عنوان پوششی برای پنهان کردن فعالیت‌های مخرب استفاده می‌شود؛ و 2 فایل «payload» است که به صورت تصاویر PNG  (aut.png و  view.png) نمایش داده می‌شوند.

محققان براین باورند که هدف اصلی بارگذار چندمرحله‌ای، آماده کردن محیط برای اجرای بدافزار اصلی با تزریق aut.png و view.png به حافظه است تا با ایجاد تغییرات رجیستری ویندوز و اجرای ValleyRAT، پایداری را تنظیم کند.

ValleyRAT، که از سال 2023 شناخته شده، یک تروجان دسترسی از راه دور (RAT) است که می‌تواند دسترسی غیرمجاز و کنترل ماشین‌های آلوده را برای مهاجمان فراهم کند. نسخه‌های اخیر این بدافزار دارای ویژگی‌هایی برای گرفتن اسکرین‌شات و پاک کردن گزارش‌های رویداد ویندوز است.

کارشناسان معتقدند که این بدافزار به یک گروه تهدید به نام «Silver Fox» مرتبط است که به دلیل استفاده از چارچوب فرماندهی و کنترل (C&C) به نام «Winos 4.0»، همپوشانی‌های تاکتیکی با یک خوشه فعالیت دیگر به نام «Void Arachne» دارد.

این کمپین به دلیل تمرکز بر جمعیت چینی‌زبان و استفاده از فریب‌های مرتبط با نرم‌افزار برای فعال کردن زنجیره حمله، منحصر به فرد است.

فیشبین گفت:

«استفاده پیچیده مهاجمان از نرم‌افزار قانونی به‌عنوان مکانیسم ارائه بدافزار، که به‌طور یکپارچه فعالیت‌های مخرب را با برنامه‌های به ظاهر بی‌خطر ترکیب می‌کند، بسیار قابل توجه است. سازگاری این بارگذار چندمرحله‌ای تهدید را بیشتر می‌کند، زیرا طراحی ماژولار آن اجازه می‌دهد تا برای کمپین‌های متعدد طراحی شود.»
 

منبع:

سایبربان

موضوع:

تازه ترین ها
در
1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

در غم از دست دادن پدر امت به سوگ نشسته ایم

اذعان
1405/01/23 - 16:31- ایران

اذعان رسانه غربی به موفقیت ایران در جنگ رسانه‌ای برابر آمریکا

رسانه های غربی اعتراف کردند ایران در جنگ رسانه ای با استفاده از هوش مصنوعی دست برتر را دارد

وزارت
1405/01/20 - 15:44- جنگ سایبری

وزارت دادگستری آمریکا هک ایمیل‌های مدیر اف‌بی‌آی را تأیید کرد

گروه هکری حنظله در میانه جنگ آمریکا با ایران از هک موفق میدر اف بی آی خبر داد

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.