هشدار محققان درباره

انتشار نسخه جدید باج‌افزار Dharma در پوشش نرم‌افزارهای امنیتی و آنتی‌ویروس‌ها

بررسی‌های جدید محققان امنیتی نشان می‌دهد که نسخه جدید باج‌افزار Dharma از طریق عناوین جعلی و در پوشش نرم‌افزارهای امنیتی و آنتی‌ویروس‌ها در حال انتشار است. باج‌افزار Dharma از خانواده بدافزار‌های قفل‌کننده فایل است که شیوه‌های جدیدی را به کار می‌گیرد و در آن از اعتماد قربانیان برای آلوده کردن سیستم آن‌ها سوءاستفاده می‌کند.
۲۱ اردیبهشت ۱۳۹۸

باج‌افزار Dharma که به سازمان‌های بسیاری در سراسر جهان آسیب رسانده است، در به‌روزرسانی جدید خود با به‌کارگیری یک حقه متفاوت برای نصب خود، از پوشش آنتی‌ویروس‌های جعلی استفاده می‌کند.

اولین ظهور باج‌افزار Dharma به سال ۲۰۱۶ بازمی‌گردد که از آن زمان مسئول حوادث سایبری مهمی از جمله از کار انداختن شبکه یک بیمارستان در ایالت تگزاس در آمریکا بود. سازندگان این باج‌افزار از همان ابتدا به‌طور منظم Dharma را به‌روزرسانی کرده و در کمپین‌های مختلف از آن استفاده کرده‌اند.

به‌تازگی محققان امنیتی شرکت ترندمیکرو کشف کرده‌اند که حملات سایبری گروه سازنده باج‌افزار Dharma تکامل یافته‌ و این گروه در به‌روزرسانی اخیر خود، این باج‌افزار را در فایل نصب یک آنتی‌ویروس پنهان کرده‌اند.

حملات باج‌افزار Dharma نیز مانند بسیاری از کمپین‌های باج‌افزاری با ایمیل فیشینگ آغاز می‌شود. براساس اطلاعات موجود، باج‌افزار Dharma در حملات جدید خود، تظاهر می‌کند که ایمیلی از طرف شرکت مایکروسافت برای قربانی ارسال شده و ادعا می‌شود که رایانه قربانی در معرض خطر قرار دارد. در این ایمیل‌ها از قربانیان خواسته شده‌ با استفاده از لینک موجود در ایمیل، آنتی‌ویروس خود را به‌روزرسانی کنند.

اگر قربانی کارهای درخواست شده در ایمیل را به‌صورت کامل انجام دهد، باج‌افزار شروع به دانلود دو فایل می‌کند که یکی از آن‌ها بدافزار دانلودکننده باج‌افزار Dharma و دیگری یک نسخه‌ قدیمی از آنتی‌ویروس شرکت ایست است که طی این فرآیند، در نهایت باج‌افزار در پوشش یک آنتی‌ویروس، اطلاعات موجود در دستگاه قربانی را رمزنگاری می‌کند.

شرکت ترندمیکرو در همین رابطه گفته است که مهاجمان در این مورد از یک حذف‌کننده رسمی و دستکاری نشده  ESET AV Remover استفاده کرده‌اند؛ با این حال، از هر برنامه دیگر و حتی آنتی‌ویروس‌های تقلبی می‌توانند در این روش استفاده کنند. 

با وجود اینکه این موضوع به اندازه حملات باج‌افزارهای WannaCry و NotPetya در سال ۲۰۱۷ تا به امروز اهمیت آنچنانی نداشته، اما این باج‌افزار اگر توسعه و به‌کارگیری شیوه‌های جدید را ادامه دهد، همچنان یک تهدید جدید برای سازمان‌ها محسوب خواهد شد.

رافائل سنتنو، محقق امنیتی شرکت ترندمیکرو گفت است که همان‌طور که در نمونه جدید باج‌افزار Dharma دیده شد، بسیاری از مهاجمان در حال تلاش برای به‌روزرسانی تهدیدات قدیمی و استفاده از شیوه‌های جدیدتر هستند و هنوز باج‌افزار‌ها تهدیدی کلی و هزینه‌بر محسوب می‌شوند.

 

 

توضیحات بیشتر در:

Dharma Ransomware Uses AV Tool to Distract from Malicious Activities