مطالب پربازدید

1404/02/21 - 07:21- تروریسم سایبری

پیشنهاد رئیس سابق اداره ملی سایبری رژیم صهیونیستی درمورد ایران

رئیس سابق اداره سایبری ملی رژیم صهیونیستی گفت که این رژیم باید یک پیمان دفاع سایبری علیه ایران تشکیل دهد.

1404/01/16 - 14:04- جرم سایبری

حمله سایبری آژانس‌های اطلاعاتی آمریکا علیه کاربران موبایل

یک گزارش منتشرشده توسط یک ائتلاف صنعتی چینی، فعالیت‌های نظارتی و سرقت داده‌ای آژانس‌های اطلاعاتی آمریکا را که کاربران جهانی تلفن‌های هوشمند و سامانه‌های ارتباطی را هدف قرار می‌دهد، افشا کرد.

1404/01/26 - 08:33- آمریکا

برگزاری رزمایش پاسخ هماهنگ به حمله سایبری توسط اعضای ناتو

متحدان ناتو در یک رزمایش در ماه آوریل سال جاری، پاسخ هماهنگ به حمله سایبری را تمرین کردند.

کامیار عزیزی

انتشار شده در تاریخ 1402/08/08 - 09:15

استفاده از بدافزار گوست پالس برای آلوده کردن رایانه های شخصی ویندوزی

یک کمپین حمله سایبری جدید با استفاده از فایل‌های بسته برنامه ویندوز جعلی ام اس آی اکس برای نرم‌افزارهای محبوبی مانند گوگل کروم، مایکروسافت اج، بریو، گرامرلی و سیسکو وبکس، برای توزیع یک بدافزار جدید با نام گوست پالس مشاهده شده است.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، جو دسیمون، محقق آزمایشگاه امنیتی الاستیک (Elastic Security Labs) در گزارشی فنی که هفته گذشته منتشر شد، گفت:

ام اس آی اکس (MSIX) یک قالب بسته برنامه ویندوزی است که توسعه دهندگان می توانند از آن برای بسته بندی، توزیع و نصب برنامه های خود برای کاربران ویندوز استفاده کنند. با این حال، ام اس آی اکس نیاز به دسترسی به گواهی‌های امضای کد خریداری‌شده یا دزدیده شده دارد و آن‌ها را برای گروه‌هایی از منابع بالاتر از میانگین قابل استفاده می کند.

بر اساس نصب‌کننده‌هایی که به‌عنوان فریب استفاده می‌شوند، گمان می‌رود که اهداف بالقوه از طریق تکنیک‌های شناخته‌شده مانند وب‌سایت‌های در معرض خطر، مسمومیت بهینه‌سازی موتور جستجو (SEO) یا تبلیغات نادرست، فریفته شوند تا بسته‌های ام اس آی اکس را دانلود کنند.

با راه‌اندازی فایل ام اس آی اکس، یک ویندوز باز می‌شود که از کاربران می‌خواهد روی دکمه نصب کلیک کنند، که این کار منجر به دانلود مخفیانه بدافزار گوست پالس (GHOSTPULSE) روی میزبان در معرض خطر از یک سرور راه دور ("manojsinghnegi[.]com) از طریق یک اسکریپت پاورشل (PowerShell) می‌شود.

این فرآیند در چندین مرحله انجام می شود، با اولین بار یک فایل بایگانی تار (TAR) حاوی یک فایل اجرایی که به عنوان سرویس باکس مجازی اوراکل (Oracle VM VirtualBox (VBoxSVC.exe)) ظاهر می شود، اما در واقع یک باینری قانونی است که با نوت پد ++ (Notepad++ (gup.exe)) همراه است.

همچنین در بایگانی تار، فایل handoff.wav و یک نسخه تروجانیزه شده از libcurl.dll وجود دارد که با سوء استفاده از این واقعیت که فایل gup.exe در برابر بارگذاری جانبی دی ال ال (DLL) آسیب پذیر است، برای انتقال فرآیند آلودگی به مرحله بعدی بارگذاری شده است.

دیسیمون گفت:

پاورشل VBoxSVC.exe، باینری را اجرا می کند که از دایرکتوری فعلی، دی ال ال مخرب libcurl.dll را بارگیری می کند. با به حداقل رساندن ردپای کدهای مخرب رمزگذاری شده روی دیسک، عامل تهدید می تواند از اسکن ویروس ها (AV) و یادگیری ماشینی (ML) مبتنی بر فایل، فرار کند.

فایل دی ال ال دستکاری شده، متعاقباً با تجزیه handoff.wav ادامه می‌یابد، که به نوبه خود، یک بسته رمزگذاری شده را بسته بندی می‌کند که از طریق mshtml.dll، روشی به نام استامپ زدن ماژول، رمزگشایی و اجرا می‌شود تا در نهایت بدافزار گوست پالس بارگذاری شود.

این بدافزار به عنوان یک لودر عمل می کند و از تکنیک دیگری به نام فرآیند داپل گنگینگ (doppelgänging) برای شروع اجرای بدافزار نهایی استفاده می کند که شامل سکتاپ رت (SectopRAT)، رادامانتیز (Rhadamanthys)، ویدار (Vidar)، لوما (Lumma) و نت ساپورت رت (NetSupport RAT) است.