مطالب پربازدید

1404/09/11 - 08:18- تروریسم سایبری

آماده‌سازی رژیم صهیونیستی در حوزه فناوری برای جنگ احتمالی بعدی با ایران

رژیم صهیونیستی در حال آماده‌سازی طیف جدیدی از سلاح‌ها و فناوری‌های جدید برای جنگ بعدی با ایران است.

1404/09/24 - 10:47- تروریسم سایبری

هشدار رژیم صهیونیستی درمورد حملات سایبری نگران‌کننده ایران

مدیرکل اداره ملی سایبری رژیم صهیونیستی درمورد حملات ایران و احتمال جنگ سایبری هولناک هشدار داد.

1404/10/01 - 10:44- جنگ سایبری

هشدار روزنامه اسرائیلی درباره جنگ سایبری با ایران

روزنامه اسرائیلی معاریو پس از یک سری حملات هکری علیه شخصیت‌های ارشد سیاسی و نهادهای دولتی، درباره جنگ سایبری با ایران و تشدید نفوذها هشدار داد.

کامیار عزیزی

انتشار شده در تاریخ 1402/08/08 - 09:15

استفاده از بدافزار گوست پالس برای آلوده کردن رایانه های شخصی ویندوزی

یک کمپین حمله سایبری جدید با استفاده از فایل‌های بسته برنامه ویندوز جعلی ام اس آی اکس برای نرم‌افزارهای محبوبی مانند گوگل کروم، مایکروسافت اج، بریو، گرامرلی و سیسکو وبکس، برای توزیع یک بدافزار جدید با نام گوست پالس مشاهده شده است.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، جو دسیمون، محقق آزمایشگاه امنیتی الاستیک (Elastic Security Labs) در گزارشی فنی که هفته گذشته منتشر شد، گفت:

ام اس آی اکس (MSIX) یک قالب بسته برنامه ویندوزی است که توسعه دهندگان می توانند از آن برای بسته بندی، توزیع و نصب برنامه های خود برای کاربران ویندوز استفاده کنند. با این حال، ام اس آی اکس نیاز به دسترسی به گواهی‌های امضای کد خریداری‌شده یا دزدیده شده دارد و آن‌ها را برای گروه‌هایی از منابع بالاتر از میانگین قابل استفاده می کند.

بر اساس نصب‌کننده‌هایی که به‌عنوان فریب استفاده می‌شوند، گمان می‌رود که اهداف بالقوه از طریق تکنیک‌های شناخته‌شده مانند وب‌سایت‌های در معرض خطر، مسمومیت بهینه‌سازی موتور جستجو (SEO) یا تبلیغات نادرست، فریفته شوند تا بسته‌های ام اس آی اکس را دانلود کنند.

با راه‌اندازی فایل ام اس آی اکس، یک ویندوز باز می‌شود که از کاربران می‌خواهد روی دکمه نصب کلیک کنند، که این کار منجر به دانلود مخفیانه بدافزار گوست پالس (GHOSTPULSE) روی میزبان در معرض خطر از یک سرور راه دور ("manojsinghnegi[.]com) از طریق یک اسکریپت پاورشل (PowerShell) می‌شود.

این فرآیند در چندین مرحله انجام می شود، با اولین بار یک فایل بایگانی تار (TAR) حاوی یک فایل اجرایی که به عنوان سرویس باکس مجازی اوراکل (Oracle VM VirtualBox (VBoxSVC.exe)) ظاهر می شود، اما در واقع یک باینری قانونی است که با نوت پد ++ (Notepad++ (gup.exe)) همراه است.

همچنین در بایگانی تار، فایل handoff.wav و یک نسخه تروجانیزه شده از libcurl.dll وجود دارد که با سوء استفاده از این واقعیت که فایل gup.exe در برابر بارگذاری جانبی دی ال ال (DLL) آسیب پذیر است، برای انتقال فرآیند آلودگی به مرحله بعدی بارگذاری شده است.

دیسیمون گفت:

پاورشل VBoxSVC.exe، باینری را اجرا می کند که از دایرکتوری فعلی، دی ال ال مخرب libcurl.dll را بارگیری می کند. با به حداقل رساندن ردپای کدهای مخرب رمزگذاری شده روی دیسک، عامل تهدید می تواند از اسکن ویروس ها (AV) و یادگیری ماشینی (ML) مبتنی بر فایل، فرار کند.

فایل دی ال ال دستکاری شده، متعاقباً با تجزیه handoff.wav ادامه می‌یابد، که به نوبه خود، یک بسته رمزگذاری شده را بسته بندی می‌کند که از طریق mshtml.dll، روشی به نام استامپ زدن ماژول، رمزگشایی و اجرا می‌شود تا در نهایت بدافزار گوست پالس بارگذاری شود.

این بدافزار به عنوان یک لودر عمل می کند و از تکنیک دیگری به نام فرآیند داپل گنگینگ (doppelgänging) برای شروع اجرای بدافزار نهایی استفاده می کند که شامل سکتاپ رت (SectopRAT)، رادامانتیز (Rhadamanthys)، ویدار (Vidar)، لوما (Lumma) و نت ساپورت رت (NetSupport RAT) است.