آخرین اخبار
یک حمله malvertising یا گسترش بدافزار از طریق آگهی، شناسایی شده که در آن از بدافزارهای Vidar و GandCrab استفاده شده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از Malwarebytes، یک زنجیره حمله گسترش بدافزار از طریق آگهی کشف شده است که ابتدا از اکسپلویت کیت Fallout استفاده می‌کند تا بدافزار Vidar را انتقال دهد. بدافزار Vidar یک ابزار سارق اطلاعات است.
در این حملات، پژوهشگران بدنه دیگری را شناسایی کردند که از سرور فرمان و کنترل C&C) Vidar) دریافت شده است. بدافزار Vidar در ابتدا تلاش می‌کند تا اطلاعات حساس و محرمانه قربانی را استخراج و آن را برای سرور C&C ارسال کند. سپس قربانی را با باج‌افزار GandCrab آلوده می‌کند.
بدافزار Vidar، پس از اجرا در سیستم قربانی، داده‌های مشخص شده در پیکربندی را در سیستم هدف جستجو و آن‌ها را از طریق یک درخواست HTTP POST رمزگذاری نشده به سرور C&C ارسال می‌کند. این اطلاعات شامل جزئیات سطح بالا سیستمی (مشخصات، فرایندهای پژوهشی در حال اجرا و برنامه‌های نصب شده) و اطلاعاتی درباره قربانی (آدرس IP، کشور، شهر و ISP) است.
حدود یک دقیقه پس از آلودگی اولیه توسط Vidar، فایل‌های قربانی توسط باج‌افزار GandCrab 5.04 رمزگذاری می‌شوند. در این مرحله، تصویر پس زمینه رایانه قربانی به متن باج‌خواهی و نحوه بازیابی فایل‌ها تغییر می‌کند.
نکته قابل توجه درباره این حمله این است که مهاجمین علاوه بر سرقت اطلاعات کاربران، فایل‌های آنها را نیز رمزگذاری می‌کنند تا در ازای بازیابی آنها مبلغی دریافت کنند.
برای کاهش اثرات این بدافزار و حملات مشابه، توصیه می‌شود از ابزارهای امنیتی ضدبدافزار استفاده شود. همچنین، توصیه می‌شود تا با بروزرسانی نسخه‌های آسیب‌پذیر برنامه‌هایی از جمله Internet Explorer و Flash Player، از سوء استفاده اکسپلویت کیت Fallout جلوگیری شود.

نشانه‌های آلودگی (IoC):
هش Vidar:
•    E99DAF10E6CB98E93F82DBE344E6D6B483B9073E80B128C163034F68DE63BE33
سرور C&C بدافزار Vidar:
•    kolobkoproms[.]ug
بارگذاری کننده باج‌افزار GandCrab:
•    ovz1.fl1nt1kk.10301.vps.myjino[.]ru/topup.exe
هش GandCrab:
•    ABF3FDB17799F468E850D823F845647738B6674451383156473F1742FFBD61EC
منبع:

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.