مطالب پربازدید

1404/05/18 - 08:57- تروریسم سایبری

استفاده از مایکروسافت آژور برای جاسوسی از فلسطینیان

رژیم صهیونیستی از مایکروسافت آژور برای جاسوسی از فلسطینیان، آماده‌سازی حملات هوایی مرگبار و سازماندهی عملیات‌های نظامی در غزه و کرانه باختری استفاده می‌کند.

1404/05/23 - 14:10- هوش مصنوعي

نگاهی به فیلم سینمایی همنشین(Companion)

1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

انتشار شده در تاریخ 1397/05/30 - 12:09

بدافزار شاهزاده ایرانی

در گذشته پژوهشگران Palo Alto Networks گزارش‌هایی را درباره بدافزار شاهزاده ایرانی منتشر کردند که بنظر می‌رسد بیش از ۱۰ سال از فعالیتش می گذرد.

به گزارش کارگروه امنیت سایبربان؛ در دو سال گذشته پژوهشگران Palo Alto Networks گزارش‌هایی را درباره بدافزار شاهزاده ایرانی منتشر کردند که بنظر می‌رسد بیش از ۱۰ سال از فعالیتش می گذرد. در گزارش اول که Palo Alto Networks در سال ۲۰۱۶ منتشر کرد، این بدافزار با Infy و در گزارش دوم با Foudre نام گذاری شده است. در زمان انتشار این گزارش، Palo Alto Networks اظهار داشت که نسخه‌های ۱ و ۲ بدافزار Foudre مشاهده شده است. در گزارشی که Intezer به تازگی منتشر کرده است، شواهدی کشف شده است که نشان می‌دهد حملات بدافزار شاهزاده ایرانی همچنان فعال و در آن از نسخه ۸ بدافزار Foudre استفاده شده است. در این گزارش، ویژگی‌های جدید و منحصر به فرد نسخه جدید بدافزار Foudre مورد بررسی قرار گرفته‌اند.

نسخه‌های اولیه
گزارش اولیه Palo Alto Networks در سال ۲۰۱۶ منتشر شد که در آن بدافزار Infy تحلیل شده است. در حملات این بدافزار از ایمیل‌های فیشینگ استفاده شده است و این ایمیل‌ها حاوی پیوست‌هایی با فرمت اسناد Word یا PowerPoint مخرب هستند. این فایل‌ها دارای یک فایل آرشیو اجرایی خود استخراج شونده (self-extracting) هستند که پس از اجرا محتوای مخرب را منتقل می‌کنند. در یک نمونه از فایل PowerPoint مخرب، تصویر یک فایل ویدئویی جعلی قرار داده شده که بنظر می‌رسد متوقف شده است، قربانی با کلیک بر روی پخش فیلم، فایل آرشیو را اجرا می‌کند.
در گزارش دوم که در سال ۲۰۱۷ منتشر شد، نسخه تکامل یافته Infy با نام Foudre (به معنای رعد و برق در زبان فرانسوی) بررسی شد. نسخه تکامل یافته Infy نیز با ایمیل‌های فیشینگ با پیوست فایل‌های اجرایی خود استخراج شونده توزیع می‌شود. در صورت اجرا یک بارگذار کننده اجرایی، یک DLL مخرب و یک فایل readme به سیستم قربانی منتقل می‌شود. نسخه تکامل یافته قابلیت‌هایی نظیر keylogger، دریافت محتوای کلیپ‌برد در یک چرخه ده ثانیه‌ای و اطلاعات سیستم شامل لیست فرایندها، آنتی‌ویروس‌های نصب شده، کوکی‌ها و سایر اطلاعات مرورگر را دارد.

نسخه جدید Foudre
مشابه نسخه‌های قبلی، نسخه جدید بدافزار Foudre یعنی نسخه ۸ نیز در یک آرشیو WinRAR خود استخراج شونده قرار داده شده است. در این آرشیو چندین فایل اجرایی مخرب و یک فایل ویدئویی وجود دارد. فایل ویدئویی دارای فرمت MP۴ و هدف اصلی درج ویدئو در فایل آرشیو منحرف کردن قربانی و نصب بدافزار حین پخش ویدئو است.
بدافزار Foudre یک ابزا با دسترسی از راه دور است که قابلیت‌های اجرای دستور، سرقت اطلاعات سیستم (مانند کلیدهای وارد شده در صفحه کلید، اطلاعات فرایندهای پردازشی و غیره) و بروزرسانی خودکار را دارد. اکثر کد و عملکرد این نسخه مشابه Infy و نسخه‌های قبلی Foudre است. اما چندین ویژگی جدید و منحصر به فرد به آن اضافه شده است.
همانطور که گفته شد در فایل آرشیو WINRAR SFX سه فایل اجرایی وجود دارد. فایل اجرایی اصلی Foudre تقریبا در VirusTotal ناشناخته است و از ۶۷ مورد تنها ۳ مورد آن‌را شناسایی می‌کنند.