info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

Cryptor یا Miner ؟!!

خلاصه: محققان کسپراسکی به‌تازگی نمونه‌ای از یک خانواده‌ی تروجانی قدیمی را شناسایی کرده اند که پس از آلوده کردن سیستم قربانی به انتخاب خود با استفاده از Cryptor یا Miner از آن بهره‌برداری می‌نماید. این بدافزار با استفاده از ایمیل‌های اسپم همراه با اسناد ضمیمه توزیع می‌شود، توصیه می‌کنیم قبل از باز کردن ضمیمه‌های ایمیل خود از صحت آن اطمینان حاصل کنید.

 

محققان کسپراسکی یک خانواده‌ی قدیمی از تروجان‌ها را کشف کرده‌اندکه به صورت نمونه‌ی مخرب جدیدی از بدافزا ارائه شده است. این نمونه می‌تواند قربانیان را با یک رمزنگار یا یک ماینر آلوده کند. این نمونه‌ی بدافزاری که از طریق ایمیل‌های اسپم همراه با اسناد ضمیمه‌شده توزیع می‌گردد، مربوط به خانواده‌ی بدافزاری  Trojan-Ransom.Win32.Rakhani می‌باشد.

روش کار این بدافزار به این صورت است که پس از باز شدن ضمیمه‌ی ایمیل، قربانی اقدام به ذخیره‌ی سند و فعال‌سازی ویرایش می‌کند. در این هنگام انتظار می‌رود، قربانی دوبار بر روی فایل PDF جاسازی شده کلیک کند، اما در واقع به‌جای باز شدن PDF یک فایل اجرایی مخرب راه‌اندازی می‌شود.

پس از این، تروجان تصمیم می‌گیرد که کدام پیلود بر روی سیستم قربانی دانلود شود. در واقع مهاجمان همیشه سعی می‌کنند که چه با دریافت مستقیم پول (cryptor) و چه با استفاده‌ی غیرمجاز از منایع کاربر در جهت نیازهایشان (Miner) با با بهره‌برداری از قربانی در جهت توزیع بدافزار (net-worm) از آن‌ها به‌بهترین نحو بهره‌برداری کنند.

نظر به اینکه این بدافزار اولین بار در سال ۲۰۱۳ کشف شد، نویسندگان آن روش‌های دریافت کلید توسط تروجان را در طول این سال‌ها تغییر داده‌اند. این تروجان اولین بار کلیدها را به‌صورت محلی تولید می‌کرد اما اکنون آن‌ها کلیدها را از سرور کنترل و فرمان دریافت می‌کنند. آن‌ها همچنین الگوریتم‌های مورد استفاده را نیز تغییر داده‌اند. تحلیل‌گران به‌تازگی ۱۸ الگوریتم متقارن استفاده شده به‌صورت همزمان در این تروجان را کشف کرده‌اند. کتابخانه‌های رمزنگاری آن نیز تغییر کرده‌اند همانطور که متد توزیع آن از اسپم به اجرا از راه دور تغییر کرد.

در نمونه‌هایی که اخیرا کشف شده‌اند، مجرمان یک ویژگی جدید برای Mining اضافه کرده‌اند. به‌گفته‌ی محققان، این بدافزار عمدتا شرکت‌ها را مورد هدف قرار می‌دهد و بیشتر در روسیه توزیع شده است، به‌طوری که فدراسیون روسیه مکررا مورد حمله‌ی Trojan-Downloader.Win32.Rakhni قرار گرفته است. قزاقستان، اوکراین، آلمان و هند، ۴ کشور دیگری هستند که مورد حمله‌ی این تروجان قرار گرفته‌اند. این چهار کشور هر کدام کمتر از ۲ درصد از کاربران مورد حمله واقع شده به‌نسبت تمام قربانیان این بدافزار را به‌خود اختصاص می‌دهند.

 

    

مطالب مرتبط