about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
امنیت شبکه
مطالب پربازدید
جایزه
1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

اعتراف
1404/03/28 - 09:08- تروریسم سایبری

اعتراف منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده

منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده اعتراف کردند.

حمله
1404/03/27 - 20:40- آسیا

حمله سایبری به بانک سپه

هکرهای گنجشک درنده(گروهی منتسب به آمریکا) مدعی حمله سایبری به بانک سپه شدند.

انتشار شده در تاریخ

ارائه بدافزار جدید از طریق نصب کننده‌های نرم‌افزاری جعلی

یک بارگذار چندمرحله‌ای به نام «PNGPlug» بدافزار «ValleyRAT» را از طریق نصب‌کننده‌های نرم‌افزار جعلی ارائه کرد.

به گزارش کارگروه امنیت سایبربان؛ به گفته محققان امنیت سایبری، مجموعه‌ای از حملات سایبری مناطق چینی‌زبان مانند هنگ‌کنگ، تایوان و سرزمین اصلی چین را با بدافزار شناخته شده‌ای به نام «ValleyRAT» هدف قرار داده است.

شرکت نرم‌افزاری اینتزر (Intezer)، واقع در تل‌آویو، در گزارشی فنی اعلام کرد که در این حملات از یک بارگذار چند مرحله‌ای به نام «PNGPlug» برای ارائه بدافزار ValleyRAT استفاده شده است.

زنجیره آلودگی با یک صفحه فیشینگ شروع می‌شود که برای تشویق قربانیان به دانلود بسته مخرب نصب کننده مایکروسافت (MSI)، پنهان شده به عنوان نرم‌افزار قانونی، طراحی شده است.

پس از اجرا، نصب کننده یک برنامه کاربردی را برای جلوگیری از ایجاد سوءظن مستقر می‌کند، درحالی‌که به طور مخفیانه یک بایگانی رمزگذاری شده حاوی بار بدافزار را استخراج می‌کند.

نیکول فیشبین (Nicole Fishbein)، محقق امنیتی، گفت:

«بسته نصب کننده مایکروسافت از ویژگی «CustomAction» نصب کننده ویندوز استفاده و به آن کمک می‌کند تا کدهای مخرب را اجرا کند، از جمله اجرای یک «DLL» مخرب جاسازی شده که بایگانی (all.zip) را با استفاده از رمز عبور رمزگذاری‌شده «hello202411» رمزگشایی می‌کند تا اجزای اصلی بدافزار را استخراج نماید.»

این موارد شامل یک DLL نفوذی (libcef.dll)؛ یک برنامه قانونی (down.exe) که به عنوان پوششی برای پنهان کردن فعالیت‌های مخرب استفاده می‌شود؛ و 2 فایل «payload» است که به صورت تصاویر PNG  (aut.png و  view.png) نمایش داده می‌شوند.

محققان براین باورند که هدف اصلی بارگذار چندمرحله‌ای، آماده کردن محیط برای اجرای بدافزار اصلی با تزریق aut.png و view.png به حافظه است تا با ایجاد تغییرات رجیستری ویندوز و اجرای ValleyRAT، پایداری را تنظیم کند.

ValleyRAT، که از سال 2023 شناخته شده، یک تروجان دسترسی از راه دور (RAT) است که می‌تواند دسترسی غیرمجاز و کنترل ماشین‌های آلوده را برای مهاجمان فراهم کند. نسخه‌های اخیر این بدافزار دارای ویژگی‌هایی برای گرفتن اسکرین‌شات و پاک کردن گزارش‌های رویداد ویندوز است.

کارشناسان معتقدند که این بدافزار به یک گروه تهدید به نام «Silver Fox» مرتبط است که به دلیل استفاده از چارچوب فرماندهی و کنترل (C&C) به نام «Winos 4.0»، همپوشانی‌های تاکتیکی با یک خوشه فعالیت دیگر به نام «Void Arachne» دارد.

این کمپین به دلیل تمرکز بر جمعیت چینی‌زبان و استفاده از فریب‌های مرتبط با نرم‌افزار برای فعال کردن زنجیره حمله، منحصر به فرد است.

فیشبین گفت:

«استفاده پیچیده مهاجمان از نرم‌افزار قانونی به‌عنوان مکانیسم ارائه بدافزار، که به‌طور یکپارچه فعالیت‌های مخرب را با برنامه‌های به ظاهر بی‌خطر ترکیب می‌کند، بسیار قابل توجه است. سازگاری این بارگذار چندمرحله‌ای تهدید را بیشتر می‌کند، زیرا طراحی ماژولار آن اجازه می‌دهد تا برای کمپین‌های متعدد طراحی شود.»
 

منبع:

سایبربان

موضوع:

تازه ترین ها
همکاری
1404/05/27 - 12:12- آمریکا

همکاری فاکسکان و سافت‌بانک در پروژه استار گیت

فاکسکان و سافت‌بانک تجهیزات مرکز داده را در اوهایو برای پروژه استار گیت تولید می‌کنند.

میزان
1404/05/27 - 12:07- اروپا

میزان پوشش بیمه سایبری در سال 2025

تنها ۴۷ درصد از مشتریان واجد شرایط، پوشش بیمه سایبری در سال ۲۰۲۵ دارند.

نیمی
1404/05/27 - 11:56- اقیانوسیه

نیمی از کاربران اینترنت استرالیا قربانی جرایم سایبری

طبق گفته مؤسسه جرم‌شناسی استرالیا، تقریباً نیمی از کاربران اینترنت در این کشور، قربانی جرایم سایبری هستند.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.