نسخه جدید ابزار ساخت بدافزار Trillium در دست تبهکاران

همانطور که در اواخر سال گذشته در این اتاق خبر اشاره شد Trillium ابزاری است که تبهکاران سایبری از آن جهت ساخت و انتشار بدافزارها استفاده می کنند.

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت امنیتی McAfee، نسخه 4 این ابزار مخرب نیز مدتی است که وارد بازارهای زیرزمینی نفوذگران شده است.

به ابزار جدید قابلیت های زیر اضافه شده است:

  • دانلودکننده PDF
  • تولید گذرواژه
  • توصیه های امنیتی!

 

دانلودکننده PDF

od_2305_004
با استفاده از این قابلیت، مهاجم می تواند یک فایل PDF حاوی بهره جو (Exploit) را ایجاد و از آن برای گسترش بدافزار خود استفاده کند.

od_2305_005
فایل PDF ساخته شده با استفاده از تابع OpenAction،وPowerShell را فراخوانی کرده و در ادامه اقدام به دریافت و اجرای بدافزار مورد نظر مهاجم می کند.

تولید گذرواژه

یکی دیگر از قابلیت های جدید این ابزار، امکان تولید گذرواژه است.

od_2305_006
این قابلیت یک عبارت تصادفی را ایجاد و به کاربر پیشنهاد می کند. کاربر می تواند گذرواژه پیشنهادی را بر روی دستگاه خود ذخیره کند. با کلیک بر روی دگمه مربوطه یک فایل متنی حاوی گذرواژه بصورت رمز نشده ایجاد می شود.

od_2305_007
od_2305_008

روشی که کاملاً ناامن محسوب می شود.

توصیه های امنیتی

عجیب ترین قابلیت اضافه شده به نسخه جدید Trillium بخشی با عنوان Security Tips است که در ظاهر راهنمایی برای کمک به کاربر در برابر بدافزارها و حملات سایبری است. این قابلیت از آن جهت غیرعادی محسوب می شود که این نرم افزار خود ابزاری برای نفوذ است.

od_2305_015

کاربرد

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت امنیتی McAfee، تبهکاران سایبری از نسخه 4 ابزار Trillium به منظور هدف قرار دادن بانکی در منطقه جنوب شرق آسیا بهره برده اند.

پیوست هرزنامه های استفاده شده در این حملات، یک فایل PowerPoint با پسوند PPSX است که با اجرای آن یک ارائه در حالت Slide Show شروع به نمایش می کند. نفوذگران معمولاً از این روش جهت مخفی نمودن اتفاقات پشت صحنه استفاده می کنند.

od_2305_009

قابلیتی در PowerPoint اجازه اجرای اشیاء تزریق شده OLE را فراهم می کند. در این حملات، با سوءاستفاده از این قابلیت یک بدافزار VBS.Downloader که از طریق ابزار Trillium 4.0 ساخته شده، در هنگام آغاز نمایش بر روی دستگاه قربانی اجرا می شود.

od_2305_014

 

od_2305_011

در ادامه VBS.Downloaer یک بدافزار از نوع سارق گذرواژه (Password Stealer) را دانلود می کند. این سارق گذرواژه کلیدهای فشرده شده توسط کاربر در نرم افزارهای زیر را ضبط و وقایع مربوط به آن را در در پوشه APPDATA%\LOGS% با نامی در قالب DD-MM-YYYY ذخیره می کند. 

  • FireFox
  • ThunderBird
  • SeaMonkey
  • Opera
  • Outlook
  • Pidgin

این بدافزار فایل های وقایع را با عبارت 0x9D یای انحصاری (XOR) کرده و سپس با 0x24 جمع می کند.

تصاویر زیر نمونه رمزنگاری شده و رمزگشایی شده با این روش را نشان می دهند.

od_2305_020

od_2305_019

در ادامه نیز با دامنه های زیر ارتباط برقرار می کند:

  • adzone.duia.eu
  • adzone.ddns.net
  • adzone.zzzz.io

بدافزارهای ساخته شده با ابزار مخرب Trillium توسط ضدویروس McAfee با نام های زیر کشف و شناسایی می شوند:

  • W97M/Downloader.bdu
  • Trojan-FISA
  • Downloader-FBEF

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *