دوشنبه ۳ دی ۱۴۰۳ , 23 Dec 2024
جالب است ۰
کارشناسان امنیت سایبری هشداد دادند که یک در پشتی در وب‌سایت‌های طرفدار کره شمالی در حال نصب است.
اختصاصی افتانا: کارشناسان امنیت سایبری هشداد دادند که یک در پشتی در وب‌سایت‌های طرفدار کره شمالی در حال نصب است.

به گزارش افتانا به نقل از تک‌رادار، افرادی که به همه چیز کره شمالی علاقه دارند با بدافزار بسیار خاصی مورد هدف قرار می‌گیرند.

محققان امنیت سایبری از Trend Micro اخیرا Earth Kitsune را مشاهده کرده‌اند که یک عامل تهدید نوظهور است که یک وب‌سایت طرفدار کره شمالی را نقض می کند و سپس از آن سایت برای ارائه یک در پشتی با نام WhiskerSpy استفاده می‌کند.

این بدافزار به عوامل تهدید اجازه می‌دهد تا فایل‌ها را بدزدند، اسکرین‌شات بگیرند و بدافزار اضافی را در نقطه پایانی در معرض خطر مستقر کنند.

به گفته محققان، هنگامی که افراد خاصی از وب‌سایت بازدید می‌کنند و به دنبال اجرای محتوای ویدیویی هستند، ابتدا از آن‌ها خواسته می‌شود که یک کدک ویدیویی نصب کنند. کسانی که به این ترفند علاقه دارند نسخه اصلاح شده یک کدک قانونی (Codec-AVC۱.msi) را دانلود می‌کنند که در پشتی WhiskerSpy را نصب می‌کند.

در پشتی به عوامل تهدید تعدادی قابلیت مختلف از جمله دانلود فایل‌ها به نقطه پایانی در معرض خطر، آپلود فایل‌ها، حذف آن‌ها، فهرست کردن آن‌ها، گرفتن اسکرین‌شات، بارگیری فایل‌های اجرایی و فراخوانی صادرات آن و تزریق کد پوسته به فرآیندها را می‌دهد.

سپس در پشتی با استفاده از یک کلید رمزگذاری AES ۱۶ بایتی با سرور فرمان و کنترل بدافزار (C۲) ارتباط برقرار می‌کند.

اما همه بازدیدکنندگان در معرض خطر نیستند. در واقع، این احتمال وجود دارد که تنها بخش کوچکی از بازدیدکنندگان هدف قرار گیرند، زیرا Trend Micro کشف کرد که در پشتی تنها زمانی فعال می‌شود که بازدیدکنندگان از شنیانگ چین، یا ناگویای ژاپن سایت را باز کنند.

در حقیقت، از مردم برزیل نیز خواسته می‌شود که در پشتی را دانلود کنند، اما محققان معتقدند که برزیل فقط برای آزمایش اینکه آیا حمله کار می‌کند یا خیر، استفاده می‌شود.

علاوه بر این، محققان دریافتند که آدرس های IP در برزیل متعلق به یک سرویس VPN تجاری است.

پس از نصب، بدافزار تا حد زیادی روی دستگاه باقی می‌ماند. ظاهرا Earth Kitsune از میزبان پیام‌رسانی بومی در مرورگر گوگل کروم برای نصب یک افزونه مخرب به نام Google Chrome Helper استفاده می‌کند. این افزونه هر بار که مرورگر شروع به کار می‌کند، بار را اجرا می کند.

منبع: Techradar
کد مطلب : 20433
https://aftana.ir/vdcbfab5.rhbgfpiuur.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی