کارشناسان امنیت سایبری هشداد دادند که یک در پشتی در وبسایتهای طرفدار کره شمالی در حال نصب است.
۰
اختصاصی افتانا: کارشناسان امنیت سایبری هشداد دادند که یک در پشتی در وبسایتهای طرفدار کره شمالی در حال نصب است.
به گزارش افتانا به نقل از تکرادار، افرادی که به همه چیز کره شمالی علاقه دارند با بدافزار بسیار خاصی مورد هدف قرار میگیرند.
محققان امنیت سایبری از Trend Micro اخیرا Earth Kitsune را مشاهده کردهاند که یک عامل تهدید نوظهور است که یک وبسایت طرفدار کره شمالی را نقض می کند و سپس از آن سایت برای ارائه یک در پشتی با نام WhiskerSpy استفاده میکند.
این بدافزار به عوامل تهدید اجازه میدهد تا فایلها را بدزدند، اسکرینشات بگیرند و بدافزار اضافی را در نقطه پایانی در معرض خطر مستقر کنند.
به گفته محققان، هنگامی که افراد خاصی از وبسایت بازدید میکنند و به دنبال اجرای محتوای ویدیویی هستند، ابتدا از آنها خواسته میشود که یک کدک ویدیویی نصب کنند. کسانی که به این ترفند علاقه دارند نسخه اصلاح شده یک کدک قانونی (Codec-AVC۱.msi) را دانلود میکنند که در پشتی WhiskerSpy را نصب میکند.
در پشتی به عوامل تهدید تعدادی قابلیت مختلف از جمله دانلود فایلها به نقطه پایانی در معرض خطر، آپلود فایلها، حذف آنها، فهرست کردن آنها، گرفتن اسکرینشات، بارگیری فایلهای اجرایی و فراخوانی صادرات آن و تزریق کد پوسته به فرآیندها را میدهد.
سپس در پشتی با استفاده از یک کلید رمزگذاری AES ۱۶ بایتی با سرور فرمان و کنترل بدافزار (C۲) ارتباط برقرار میکند.
اما همه بازدیدکنندگان در معرض خطر نیستند. در واقع، این احتمال وجود دارد که تنها بخش کوچکی از بازدیدکنندگان هدف قرار گیرند، زیرا Trend Micro کشف کرد که در پشتی تنها زمانی فعال میشود که بازدیدکنندگان از شنیانگ چین، یا ناگویای ژاپن سایت را باز کنند.
در حقیقت، از مردم برزیل نیز خواسته میشود که در پشتی را دانلود کنند، اما محققان معتقدند که برزیل فقط برای آزمایش اینکه آیا حمله کار میکند یا خیر، استفاده میشود.
علاوه بر این، محققان دریافتند که آدرس های IP در برزیل متعلق به یک سرویس VPN تجاری است.
پس از نصب، بدافزار تا حد زیادی روی دستگاه باقی میماند. ظاهرا Earth Kitsune از میزبان پیامرسانی بومی در مرورگر گوگل کروم برای نصب یک افزونه مخرب به نام Google Chrome Helper استفاده میکند. این افزونه هر بار که مرورگر شروع به کار میکند، بار را اجرا می کند.
منبع: Techradar
به گزارش افتانا به نقل از تکرادار، افرادی که به همه چیز کره شمالی علاقه دارند با بدافزار بسیار خاصی مورد هدف قرار میگیرند.
محققان امنیت سایبری از Trend Micro اخیرا Earth Kitsune را مشاهده کردهاند که یک عامل تهدید نوظهور است که یک وبسایت طرفدار کره شمالی را نقض می کند و سپس از آن سایت برای ارائه یک در پشتی با نام WhiskerSpy استفاده میکند.
این بدافزار به عوامل تهدید اجازه میدهد تا فایلها را بدزدند، اسکرینشات بگیرند و بدافزار اضافی را در نقطه پایانی در معرض خطر مستقر کنند.
به گفته محققان، هنگامی که افراد خاصی از وبسایت بازدید میکنند و به دنبال اجرای محتوای ویدیویی هستند، ابتدا از آنها خواسته میشود که یک کدک ویدیویی نصب کنند. کسانی که به این ترفند علاقه دارند نسخه اصلاح شده یک کدک قانونی (Codec-AVC۱.msi) را دانلود میکنند که در پشتی WhiskerSpy را نصب میکند.
در پشتی به عوامل تهدید تعدادی قابلیت مختلف از جمله دانلود فایلها به نقطه پایانی در معرض خطر، آپلود فایلها، حذف آنها، فهرست کردن آنها، گرفتن اسکرینشات، بارگیری فایلهای اجرایی و فراخوانی صادرات آن و تزریق کد پوسته به فرآیندها را میدهد.
سپس در پشتی با استفاده از یک کلید رمزگذاری AES ۱۶ بایتی با سرور فرمان و کنترل بدافزار (C۲) ارتباط برقرار میکند.
اما همه بازدیدکنندگان در معرض خطر نیستند. در واقع، این احتمال وجود دارد که تنها بخش کوچکی از بازدیدکنندگان هدف قرار گیرند، زیرا Trend Micro کشف کرد که در پشتی تنها زمانی فعال میشود که بازدیدکنندگان از شنیانگ چین، یا ناگویای ژاپن سایت را باز کنند.
در حقیقت، از مردم برزیل نیز خواسته میشود که در پشتی را دانلود کنند، اما محققان معتقدند که برزیل فقط برای آزمایش اینکه آیا حمله کار میکند یا خیر، استفاده میشود.
علاوه بر این، محققان دریافتند که آدرس های IP در برزیل متعلق به یک سرویس VPN تجاری است.
پس از نصب، بدافزار تا حد زیادی روی دستگاه باقی میماند. ظاهرا Earth Kitsune از میزبان پیامرسانی بومی در مرورگر گوگل کروم برای نصب یک افزونه مخرب به نام Google Chrome Helper استفاده میکند. این افزونه هر بار که مرورگر شروع به کار میکند، بار را اجرا می کند.
منبع: Techradar
کد مطلب : 20433
https://aftana.ir/vdcbfab5.rhbgfpiuur.htmlaftana.ir/vdcbfab5.rhbgfpiuur.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵