براساس گزارش منتشر شده توسط شرکت امنیتی مالوربایتس، بهتازگی کمپین تبلیغات مخربی تحت عنوان prolific کاربران سایتهای پرترافیک مانند تورنت را تحت شرایطی مورد هدف قرار داده است که طی آن، از کدهای بهرهبرداری اینترنت اکسپلورر و فلشپلیر استفاده شده است. به گفته محققان مالوربایتس هکرها در این کمپین، از بستههای نفوذ Fallout برای انجام این حملات خود استفاده کردهاند.
گزارش مالوربایتس نشان میدهد که یکی از بدافزارهای بهکار رفته در این کمپین، Vidar است که میتواند اطلاعات کاربران از جمله گذرواژهها، اسناد ذخیره شده در دستگاهها، تاریخچه مرورگر، اطلاعات کارتهای اعتباری و اطلاعات ذخیره شده در نرمافزار احراز هویت دو مرحلهای را هدف قرار دهد. همچنین این بدافزار توانایی تهیه اسکرینشات از صفحه نمایش قربانیان خود را نیز داراست.
بدافزار Vidar همچنین میتواند کیفپولهای مجازی ذخیره کننده بیتکوین و دیگر ارزهای دیجیتالی را هدف قرار دهد. این بدافزار کاملا قابل تنظیم بوده و توسط گروههای تهدیدگر متعددی در کمپینهای مختلف توزیع شده و مورد استفاده قرار گرفته است. به نظر میرسد که نام این بدافزار برگرفته از Norse God باشد و نویسندگان قصد داشته باشند با استفاده از این نام، تواناییهای پنهان این بدافزار را بازتاب دهند.
اما این پایان حمله مهاجمان در این کمپین نیست؛ از آنجایی که سرور کنترل و فرمان Vidar امکان توزیع دیگر بدافزارها را نیز داراست، محققان دریافتهاند که برای توزیع باجافزار GandCrab نیز مورد استفاده قرار میگیرد.
باجافزار GandCrab یکی از فعالترین خانوادههای باجافزاری رمزگذاری فایلها است که با بهروزرسانیهای مرتب، قویتر شده و شناسایی و بررسی آن برای محققان دشوارتر شده است. در این مورد، نسخه ۵.۰۴ باجافزار GandCrab حدود یک دقیقه پس از آلودگی اولیه دستگاه قربانی به بدافزار Vidar از سرورهای مهاجمان دریافت و اجرا میشود. سپس با رمزگذاری اطلاعات، پیامی مبنی بر آلودگی دستگاه به باجافزار را برای قربانی نمایش میدهد که طی آن مبلغ باج به بیتکوین درخواست میشود.
توضیحات بیشتر در:
- Vidar and GandCrab: stealer and ransomware combo observed in the wild