اخیرا یک کمپین بدافزاری جدید شناسایی شده که با استفاده از مهندسی اجتماعی، کاربران را فریب داده و یک روتکیت متنباز به نام r77 را روی سیستمهای قربانیان نصب میکند. این حمله که OBSCURE#BAT نامگذاری شده، به مهاجمان اجازه میدهد دسترسی مداوم به سیستم قربانی داشته باشند و از شناسایی توسط آنتیویروسها فرار کنند.
روشهای آلودهسازی: فریب کاربران با CAPTCHA جعلی و دانلودهای مخرب
طبق گزارش شرکت امنیتی Securonix، این بدافزار از دو روش اصلی برای آلودهسازی سیستمها استفاده میکند:
صفحات جعلی CAPTCHA:کاربران به یک صفحه تأیید Cloudflare جعلی هدایت میشوند که در اصل برای فریب آنها طراحی شده است.
نرمافزارهای جعلی: بدافزار به عنوان نرمافزارهای معروفی مانند Tor Browser، نرمافزارهای VoIP و پیامرسانها تبلیغ میشود.
مراحل حمله: چگونه OBSCURE#BAT روتکیت را نصب میکند؟
- قربانی یک فایل آرشیو را دانلود میکند که شامل یک اسکریپت مخفیشدهی ویندوز (Batch File) است.
- این اسکریپت، دستورات PowerShell را اجرا میکند که اسکریپتهای دیگری را دانلود و اجرا کرده و تنظیمات رجیستری را تغییر میدهند.
- بدافزار یک درایور مخرب (ACPIx86.sys) را در مسیر C:\Windows\System32\Drivers\ قرار داده و بهعنوان سرویس اجرا میکند.
- در نهایت، یک روتکیت در سطح کاربری (User-Mode Rootkit) به نام r77 نصب شده و فایلها، پردازشها و کلیدهای رجیستری مخرب را مخفی میکند.
حتما بخوانید: مایکروسافت 57 آسیبپذیری امنیتی را برطرف کرد؛ شامل 6 ZERO DAY فعال
ویژگیهای پنهانسازی و فرار از شناسایی
این بدافزار از فنون پیچیدهای برای پنهان ماندن استفاده میکند، از جمله:
پنهانسازی فایلها و پردازشها که نام آنها با پیشوند ($nya-) شروع میشود.
رمزگذاری رشتهها و استفاده از نامهای ترکیبی شامل کاراکترهای چینی و عربی برای سردرگم کردن تحلیلگران امنیتی.
دور زدن آنتیویروسها با استفاده از AMSI Patching که باعث غیرفعال شدن قابلیتهای شناسایی بدافزار در ویندوز میشود.
کنترل تاریخچهی دستورات و کلیپبورد کاربران برای جمعآوری دادههای حساس.
چگونه از خود محافظت کنیم؟
برای جلوگیری از آلوده شدن به OBSCURE#BAT، اقدامات زیر توصیه میشود:
✅ از دانلود نرمافزارها از منابع ناشناس خودداری کنید.
✅ به CAPTCHAهایی که ناگهانی در سایتها ظاهر میشوند مشکوک باشید.
✅ از یک راهکار امنیتی قوی برای شناسایی رفتارهای مشکوک استفاده کنید.
✅ تنظیمات رجیستری و پردازشهای در حال اجرا را بررسی کنید تا وجود نامهای مشکوک را شناسایی کنید.
نتیجهگیری
بدافزار OBSCURE#BAT نمونهای پیشرفته از حملات مهندسی اجتماعی است که با استفاده از روتکیت r77، تلاش میکند حضور خود را در سیستمهای قربانیان مخفی کند. این حملات بهخصوص کاربران آمریکا، کانادا، آلمان و بریتانیا را هدف قرار دادهاند. برای مقابله با این تهدیدات، آگاهی کاربران و استفاده از ابزارهای امنیتی قوی ضروری است.