مطالب پربازدید

1404/05/18 - 08:57- تروریسم سایبری

استفاده از مایکروسافت آژور برای جاسوسی از فلسطینیان

رژیم صهیونیستی از مایکروسافت آژور برای جاسوسی از فلسطینیان، آماده‌سازی حملات هوایی مرگبار و سازماندهی عملیات‌های نظامی در غزه و کرانه باختری استفاده می‌کند.

1404/05/23 - 14:10- هوش مصنوعي

نگاهی به فیلم سینمایی همنشین(Companion)

1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

سما سمیعیان

انتشار شده در تاریخ 1403/11/02 - 11:46

ارائه بدافزار جدید از طریق نصب کننده‌های نرم‌افزاری جعلی

یک بارگذار چندمرحله‌ای به نام «PNGPlug» بدافزار «ValleyRAT» را از طریق نصب‌کننده‌های نرم‌افزار جعلی ارائه کرد.

به گزارش کارگروه امنیت سایبربان؛ به گفته محققان امنیت سایبری، مجموعه‌ای از حملات سایبری مناطق چینی‌زبان مانند هنگ‌کنگ، تایوان و سرزمین اصلی چین را با بدافزار شناخته شده‌ای به نام «ValleyRAT» هدف قرار داده است.

شرکت نرم‌افزاری اینتزر (Intezer)، واقع در تل‌آویو، در گزارشی فنی اعلام کرد که در این حملات از یک بارگذار چند مرحله‌ای به نام «PNGPlug» برای ارائه بدافزار ValleyRAT استفاده شده است.

زنجیره آلودگی با یک صفحه فیشینگ شروع می‌شود که برای تشویق قربانیان به دانلود بسته مخرب نصب کننده مایکروسافت (MSI)، پنهان شده به عنوان نرم‌افزار قانونی، طراحی شده است.

پس از اجرا، نصب کننده یک برنامه کاربردی را برای جلوگیری از ایجاد سوءظن مستقر می‌کند، درحالی‌که به طور مخفیانه یک بایگانی رمزگذاری شده حاوی بار بدافزار را استخراج می‌کند.

نیکول فیشبین (Nicole Fishbein)، محقق امنیتی، گفت:

«بسته نصب کننده مایکروسافت از ویژگی «CustomAction» نصب کننده ویندوز استفاده و به آن کمک می‌کند تا کدهای مخرب را اجرا کند، از جمله اجرای یک «DLL» مخرب جاسازی شده که بایگانی (all.zip) را با استفاده از رمز عبور رمزگذاری‌شده «hello202411» رمزگشایی می‌کند تا اجزای اصلی بدافزار را استخراج نماید.»

این موارد شامل یک DLL نفوذی (libcef.dll)؛ یک برنامه قانونی (down.exe) که به عنوان پوششی برای پنهان کردن فعالیت‌های مخرب استفاده می‌شود؛ و 2 فایل «payload» است که به صورت تصاویر PNG (aut.png و view.png) نمایش داده می‌شوند.

محققان براین باورند که هدف اصلی بارگذار چندمرحله‌ای، آماده کردن محیط برای اجرای بدافزار اصلی با تزریق aut.png و view.png به حافظه است تا با ایجاد تغییرات رجیستری ویندوز و اجرای ValleyRAT، پایداری را تنظیم کند.

ValleyRAT، که از سال 2023 شناخته شده، یک تروجان دسترسی از راه دور (RAT) است که می‌تواند دسترسی غیرمجاز و کنترل ماشین‌های آلوده را برای مهاجمان فراهم کند. نسخه‌های اخیر این بدافزار دارای ویژگی‌هایی برای گرفتن اسکرین‌شات و پاک کردن گزارش‌های رویداد ویندوز است.

کارشناسان معتقدند که این بدافزار به یک گروه تهدید به نام «Silver Fox» مرتبط است که به دلیل استفاده از چارچوب فرماندهی و کنترل (C&C) به نام «Winos 4.0»، همپوشانی‌های تاکتیکی با یک خوشه فعالیت دیگر به نام «Void Arachne» دارد.

این کمپین به دلیل تمرکز بر جمعیت چینی‌زبان و استفاده از فریب‌های مرتبط با نرم‌افزار برای فعال کردن زنجیره حمله، منحصر به فرد است.

فیشبین گفت:

«استفاده پیچیده مهاجمان از نرم‌افزار قانونی به‌عنوان مکانیسم ارائه بدافزار، که به‌طور یکپارچه فعالیت‌های مخرب را با برنامه‌های به ظاهر بی‌خطر ترکیب می‌کند، بسیار قابل توجه است. سازگاری این بارگذار چندمرحله‌ای تهدید را بیشتر می‌کند، زیرا طراحی ماژولار آن اجازه می‌دهد تا برای کمپین‌های متعدد طراحی شود.»