هشدار محققان درباره
در گزارشی که بهتازگی توسط شرکت امنیتی اوست منتشر شده است، محققان بدافزاری با نام Rietspoof شناسایی کردهاند که در دسته بدافزارهای چندمرحلهای و دانلودر قرار میگیرد. این بدافزار که اولینبار در ماه آگوست ۲۰۱۸ مشاهده شده، تا ماه گذشته که تلاشهای بسیاری در راستای انتشار آن انجام شده، جدی گرفته نشده است.
به گفته اوست، این بدافزار از طریق فایلهای مایکروسافت آفیس حاوی ماکروهای آلوده، در بستر پیامرسانهایی مانند اسکایپ در حال گسترش است.
کارکرد اصلی بدافزار Rietspoof آلوده کردن قربانیان به بدافزارهای مختلف از راه تلاش برای ماندگاری در دستگاههای آلوده و دریافت دیگر بدافزارها، براساس دستورات دریافتی از سرورهای کنترل و فرمان مهاجمان است.
حفظ ماندگاری توسط این بدافزار با قرار دادن یک فایل میانبر در پوشه راهانداز برنامههای ویندوز انجام میشود. بهطور معمول این مورد و فرآیند توسط اغلب نرمافزارهای امنیتی، مانند آنتیویروسها شناسایی میشود. اما به باور محققان اوست، بدافزار Rietspoof با سوءاستفاده از گواهینامههای دیجیتال قانونی و معتبر، مراحل بررسیهای امنیتی را دور زده و امکان شناسایی را دشوارتر میکند.
بدافزار Rietspoof دقیقاً همان چیزی است که محققان امنیتی آن را «dropper» یا «downloader» نامگذاری میکنند؛ بدافزاری که از آن تنها برای آلوده کردن قربانیان به دیگر بدافزارهای قویتر استفاده میشود. به همین دلیل قابلیتهای آن نیز بسیار محدود است. این بدافزار میتواند فایلهای آلوده مختلف را دانلود، اجرا، بارگذاری یا حذف کند و حتی در موارد اضطراری نیز میتواند خود را حذف کند.
شرکت اوست اعلام کرده است که از زمانی که تحقیقات خود درباره Rietspoof را شروع کرده است، این بدافزار، پروتکلهای ارتباطاتی سرورهای کنترل و فرمان خود را تغییر داده و همین مساله باعث شده است که محققان بر این باور باشند که سازندگان این بدافزار همچنان در حال توسعه و گسترش آن هستند.
بدافزار Rietspoof دومین بدافزار دانلودر شناسایی شده در چند ماه گذشته است. یکی دیگر از این بدافزارها Vidar نامیده میشود که نوعی بدافزار کمکی برای مجرمان سایبری بهمنظور انتشار و گسترش باجافزارها و بدافزارهای سرقت رمزهای عبور است.
توضیحات بیشتر در:
- Spoofing in the reeds with Rietspoof