تکنولوژی

بدافزار OBSCURE#BAT با صفحات جعلی CAPTCHA، روتکیت r77 را مخفیانه نصب می‌کند

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

اخیرا یک کمپین بدافزاری جدید شناسایی شده که با استفاده از مهندسی اجتماعی، کاربران را فریب داده و یک روتکیت متن‌باز به نام r77 را روی سیستم‌های قربانیان نصب می‌کند. این حمله که OBSCURE#BAT نام‌گذاری شده، به مهاجمان اجازه می‌دهد دسترسی مداوم به سیستم قربانی داشته باشند و از شناسایی توسط آنتی‌ویروس‌ها فرار کنند.

روش‌های آلوده‌سازی: فریب کاربران با CAPTCHA جعلی و دانلودهای مخرب

طبق گزارش شرکت امنیتی Securonix، این بدافزار از دو روش اصلی برای آلوده‌سازی سیستم‌ها استفاده می‌کند:

 صفحات جعلی CAPTCHA:کاربران به یک صفحه تأیید Cloudflare جعلی هدایت می‌شوند که در اصل برای فریب آن‌ها طراحی شده است.

 نرم‌افزارهای جعلی:  بدافزار به عنوان نرم‌افزارهای معروفی مانند Tor Browser، نرم‌افزارهای VoIP و پیام‌رسان‌ها تبلیغ می‌شود.

مراحل حمله: چگونه OBSCURE#BAT روتکیت را نصب می‌کند؟

  1. قربانی یک فایل آرشیو را دانلود می‌کند که شامل یک اسکریپت مخفی‌شده‌ی ویندوز (Batch File) است.
  2. این اسکریپت، دستورات PowerShell را اجرا می‌کند که اسکریپت‌های دیگری را دانلود و اجرا کرده و تنظیمات رجیستری را تغییر می‌دهند.
  3. بدافزار یک درایور مخرب (ACPIx86.sys) را در مسیر C:\Windows\System32\Drivers\ قرار داده و به‌عنوان سرویس اجرا می‌کند.
  4. در نهایت، یک روتکیت در سطح کاربری (User-Mode Rootkit) به نام r77 نصب شده و فایل‌ها، پردازش‌ها و کلیدهای رجیستری مخرب را مخفی می‌کند.

حتما بخوانید: مایکروسافت 57 آسیب‌پذیری امنیتی را برطرف کرد؛ شامل 6 ZERO DAY فعال

ویژگی‌های پنهان‌سازی و فرار از شناسایی

این بدافزار از فنون پیچیده‌ای برای پنهان ماندن استفاده می‌کند، از جمله:

 پنهان‌سازی فایل‌ها و پردازش‌ها که نام آن‌ها با پیشوند ($nya-) شروع می‌شود.

 رمزگذاری رشته‌ها و استفاده از نام‌های ترکیبی شامل کاراکترهای چینی و عربی برای سردرگم کردن تحلیلگران امنیتی.

 دور زدن آنتی‌ویروس‌ها با استفاده از AMSI Patching که باعث غیرفعال شدن قابلیت‌های شناسایی بدافزار در ویندوز می‌شود.

 کنترل تاریخچه‌ی دستورات و کلیپ‌بورد کاربران برای جمع‌آوری داده‌های حساس.

چگونه از خود محافظت کنیم؟

برای جلوگیری از آلوده شدن به OBSCURE#BAT، اقدامات زیر توصیه می‌شود:

از دانلود نرم‌افزارها از منابع ناشناس خودداری کنید.
به CAPTCHAهایی که ناگهانی در سایت‌ها ظاهر می‌شوند مشکوک باشید.
از یک راهکار امنیتی قوی برای شناسایی رفتارهای مشکوک استفاده کنید.
تنظیمات رجیستری و پردازش‌های در حال اجرا را بررسی کنید تا وجود نام‌های مشکوک را شناسایی کنید.

نتیجه‌گیری

بدافزار OBSCURE#BAT نمونه‌ای پیشرفته از حملات مهندسی اجتماعی است که با استفاده از روتکیت r77، تلاش می‌کند حضور خود را در سیستم‌های قربانیان مخفی کند. این حملات به‌خصوص کاربران آمریکا، کانادا، آلمان و بریتانیا را هدف قرار داده‌اند. برای مقابله با این تهدیدات، آگاهی کاربران و استفاده از ابزارهای امنیتی قوی ضروری است.

 

کلمات کلیدی:

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد