۱۳۹۸-۰۷-۲۵ ۱۰:۵۲
تنظیم اندازه قلم

پ

۳:۱۲
از طریق یک گروه هکرى انجام گرفت:

سرقت اطلاعات کاربران از طریق یک سایت استخدام جعلى

يك وب سایت جعلى كه وانمود مى‌كرد از طرف سازمانى است كه فرصت‌هاى شغلى را براى كهنه سربازان آمریکا ارائه مى‌كند، بدافزارهايى را انتشار مى‌داد که مجرمان با کمک آن می توانستند کنترل کامل کامپیوتر قربانیان را در اختیار بگیرند.

محققان گروه امنیتى سیسکو تالوس این وب سایت جعلى را شناسایى نموده که وانمود می‌کند سازمانی به نام HMH بوده و از نظامیان دعوت به عمل آورده تا اپلیکیشن‌هایی را عرضه کند که با کمک آن کهنه سربازان آمریکا می‌توانند از فرصت های شغلى بهره مند شوند.

header.jpg

گروه تالوس اعلام کرده که مجرمان که پشت چنین وب سایتی فعالیت می کنند، گروهى به نام Tortaseshell هستند و اخیراً شرکت امنیتى سیمنتک آن‌ها را به عنوان مجرمان سایبرى معرفی کرده که شرکت‌های فناورى اطلاعات را هدف قرار داده تا به اطلاعات مشتریان آن‌ها دسترسی یابند.

آنچه گفته شد حداقل کاری است که Tortoiseshel انجام می‌دهد. تحقیقات نشان می‌دهد که عاملان پشت چنین حملاتی، عرضه کنندگان فناورى اطلاعات را در عربستان سعودی هدف قرار داده اند. گروه تالوس در این رابطه اعلام کرده که Tortoiseshell از همان در پشتی که در گذشته بوده، استفاده کرده و از تاکتیک‌ها، شیوه‌ها و فرآیندهای سابق کمک می گیرد (TTP).

در مورد سایت جعلى استخدام سربازان، وقتی کاربری از این سایت بازدید می‌کند، از وى درخواست ‌مى‌شود تا برنامه‌اى را براى ویندوز ۸ و ۱-۸ و ۱۰، دانلود کند، براى مثال در ویندوز ۱۰، این برنامه شامل یک فایل فشرده است که شامل برنامه win10.exe می‌باشد.

download.jpg

با اجرای فایل این برنامه، صفحه کوچکی باز شده که پیغامى با مضمون "استخدام قهرمانان نظامی، منابع جدیدی برای نیروی نظامی به شمار می‌آیند" نمایش داده می‌شود و در ادامه برنامه سعى در اتصال به یک پایگاه داده را دارد.

fake-loading-screen.jpg

وقتی صفحه مذکور نمایش داده می‌شود، بدافزار عملاً شروع به دانلود دو فایل آلوده دیگر کرده و آن‌ها را در کامپیوتر ذخیره می‌کند. سپس اخطاری صادر شده که این پیام را نشان مى‌دهد "متأسفانه، برنامه شما دیگر با سرورها ارتباطی ندارد." این یک پیام جعلى است که نمایش داده شده تا اینگونه القاء کند که برنامه قانونی بوده ولی در کامپیوتر مورد نظر کار نمی‌کند.

security-error-prompt.jpg

در واقع با اجراى این برنامه دو فایل بدافزار در سیستم در حال اجراست، یکى از این برنامه‌ها اطلاعات مربوط به قربانیان و کامپیوترها را جمع آوری کرده و دیگرى فرامین مجرمان سایبری را اجرا می‌کند.

جمع آوری اطلاعات قربانیان

اولین برنامه ای که دانلود می‌شود، ۱۱۱ فرمان را اجرا کرده که برای جمع آوری اطلاعات در مورد کامپیوتر و قربانیان به کار می‌رود.

فرامین شامل لیست تمام فایل های موجود در کامپیوتر است و اطلاعات درایو، فرآیندهای اجرایی، اطلاعات شبکه، لیست حساب‌هاى کاربرى، اشتراک شبکه، ورودی های ARP و اطلاعات فایروال و موارد دیگر را در بر مى‌گیرد.

some-gathered-info.jpg

تمام اطلاعات در یک فایل در مسیر %Temp%\si.cab جمع‌آورى و از طریق ایمیل به مجرمان سایبری انتقال داده مى‌شود.

نصب تروجان دسترسی از راه دور

علاوه بر بدافزار جمع آوری اطلاعات، یک تروجان دسترسی از راه دور نیز در کامپیوتر قربانى نصب می‌شود. این تروجان در قالب یکى از سرویس‌هاى ویندوز به نام "dllhost" نصب شده و با عنوان "Dll host" نمایش داده می‌شود.

سرویس مذکور بصورتى پیکربندی شده تا به صورت خودکار اجرا شود و هر موقع ویندوز بارگزارى شود، سیستم ویروسی خواهد شد.

rat-service.jpg

پس از شروع، تروجان به سرور فرمان و کنترل مجرمان سایبری مرتبط شده و فرامین را جهت اجرا دریافت می‌کند. از چنین فرمان‌هایی برای خاتمه سرویس، آپلود فایل، Unzip کردن فایل و ... استفاده می‌شود.

rat.jpg

با اتصال این تروجان، کنترل کامل کامپیوتر در اختیار مجرمان سایبری قرار مى‌گیرد و آن‌ها می‌توانند هر کاری که بخواهند انجام دهند.  از این رو هر کسی که ممکن است با این بدافزار آلوده شده باشد باید فوراً کامپیوتر خود را اسکن کرده و هرگونه تهدید موجود را برطرف نماید.

مترجم: حمید قربانى

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط