انتشار شده در تاریخ 1399/10/18 - 11:00

شناسایی بدافزار Quaverse

کارشناسان امنیت سایبری یک تروجان دسترسی از راه دور به نام Quaverse شناسایی کردند.

به گزارش کارگروه فناوری سایبربان؛ یک کارزار جدید فیشینگ در حال تلاش برای فریب دادن قربانیان برای دانلود یک بدافزار است؛ این بدافزار به مجرمان سایبری اجازه می‌دهد تا کنترل کامل دستگاه‌های آلوده که دارای سیستم‌عامل مایکروسافت ویندوز هستند را به دست‌گیرند.

این تروجان دسترسی از راه دور که Quaverse نام دارد اولین بار در سال ۲۰۱۵ ظهور کرد و تاکنون نیز موفق بوده است؛ دلیل موفقیت آن‌هم پنهان شدن زیر چندین لایه‌ی مبهم است که شناسایی را سخت می‌کند و به هکرها امکان دسترسی از راه دور به کامپیوترهای قربانیان را می‌دهد.

قابلیت‌های این بدافزار شامل: سرقت رمزهای عبور، ورود به سیستم، مرورگر فایل، گرفتن عکس از صفحه و موارد دیگر است که همه‌ی این قابلیت‌ها به هکرها اجازه می‌دهد تا به اطلاعات حساس دست پیدا کنند.

محققان امنیت سایبری در Trustwave یک کارزار جدید به نام QRat را شناسایی کردند که در حال تلاش برای فریب مردم در جهت دانلود آخرین نسخه‌ی این بدافزار هستند؛ نسخه‌ای که کارشناسان از آن با عبارت بسیار پیشرفته یاد می‌کنند.

ایمیل فیشینگ اولیه ادعا می‌کند که به قربانی پیشنهاد یک وام با شرایط خوب بازپرداخت ارائه می‌دهد که به‌طور بالقوه می‌تواند توجه قربانیان را به خود جلب کند. بااین‌حال پیوست مخرب اصلاً مربوط به موضوع بیان‌شده در ایمیل فیشینگ نیست و حاوی ویدیویی از رئیس‌جمهور دونالد ترامپ است.

محققان حدس می‌زنند که مهاجمان این پیوست را بر اساس آنچه در حال حاضر خبرساز است انتخاب کرده‌اند. تلاش برای باز کردن این فایل به هر دلیلی که باشد، منجر به نصب بدافزار QRat می‌شود.

این بدافزار برای جلوگیری از شناسایی شدن، از چندین لایه‌ی مبهم و تکنیک‌های جدید استفاده می‌کند.

بااین‌حال این فرایند حتی با یک هشدار همراه است که به کاربر می‌گوید این نرم‌افزار که در حال نصب شدن است می‌تواند برای دسترسی از راه دور و آزمایش میزان نفوذ استفاده شود. اگر کاربر بپذیرد نرم‌افزار QRat روی سیستم نصب ‌شود، به دنبال آن بدافزار بارگیری می‌شود تا از شناسایی جلوگیری شود.

شاید کمی عجیب به نظر بیاید که چرا مردم ویدئویی را دانلود می‌کنند که اصلاً با موضوعی که در پی آن بودند هیچ ارتباطی ندارد؛ اما تحریک کنجکاوی هنوز یک تاکتیک فوق‌العاده مفید است که توسط مجرمان سایبری اعمال می‌شود.

دیانا لوپرا (Diana Lopera) یک محقق ارشد امنیتی در شرکت Trustwave می‌گوید، ارسال فایل‌های مخرب JAR که اغلب منجر به دسترسی از راه دور می‌شود مانند این نمونه، کاملاً رایج است. صاحبان ایمیل باید به دنبال موضع‌گیری سخت در برابر فایل‌های JAR ورودی و مسدود کردن آن‌ها در دروازه‌های امنیت ایمیل خود باشند.

همچنین ممکن است در آینده یک فریب ایمیلی با طراحی بهتر بتواند منجر به افزایش تأثیرگذاری این کارزار QRat شود.

وی در انتها خاطرنشان کرد:

درحالی‌که میزان بارگذاری پیوست نسبت به قبل افزایش داشته است، اما عملکرد این کارزار بسیار غیرحرفه‌ای و ابتدایی بوده و ما معتقدیم که اگر ارسال این ایمیل با پیچیدگی بیشتری انجام می‌شد با موفقیت بیشتری همراه بود.