Andromeda؛ بدافزاری پیشرفته

بدافزار Andromeda که یکی از بازیگران اصلی کارزارهای هرزنامه‌ای سال 2016 بوده سابقه و تاریخچه‌ای طولانی دارد.

در اکثر نسخه‌های این بدافزار که نخستین نمونه آن در سال 2011 میلادی شناسایی شد از روش‌های مختلفی از جمله هرزنامه‌های با پیوست و یا لینک مخرب به منظور انتشار آن استفاده شده است.

به گزارش شرکت مهندسی شبکه گستر، در سال‌های اخیر نیز یکی از روش‌های اصلی انتشار این بدافزار سوءاستفاده از آسیب‌پذیری‌های نرم‌افزارهای نصب شده بر روی دستگاه کاربران بوده است. برای این منظور گردانندگان این بدافزار بسته‌های بهره‌جو (Exploit Kit) را در سایت‌ها و سرویس‌های تبلیغاتی آنلاین تحت تسخیر خود تزریق کرده و با هدایت کاربران به این سایت‌ها اقدام به بهره‌جویی از آسیب‌پذیری موجود بر روی نرم‌افزارهای دستگاه و اجرای از راه دور فایل مخرب Andromeda می‌کنند.

دستگاه آلوده شده به این بدافزار عملاً به عضوی از شبکه مخرب Andromeda در آمده و با وجود درب‌پشتی (Backdoor) نصب شده بر روی آن مهاجمان را قادر به اعمال خرابکاری‌های بیشتر بر روی دستگاه می‌کنند.

به همین طریق بدافزار قادر است تا با ضبط اطلاعات محرمانه و حساسی همچون اطلاعات اصالت‌سنجی که توسط کاربر در سیستم وارد می شوند آنها را به سرور فرماندهی (C&C) خود ارسال کند.

شبکه مخرب (Botnet) این بدافزار قابلیت ارسال ایمیل‌های انبوه و اجرای حملات توزیع شده برای از کاراندازی سرویس (DDoS) را نیز در خود دارد.

برخی نمونه‌های Andromeda توانایی سرقت داده از روی حافظه RAM تجهیزات موسوم به پایانه‌های فروش (PoS) را دارند. باید توجه داشت که هر چند ارتباطات میان پایانه فروش و سرورهای بانک رمزگذاری شده اما در حین پردازش پرداخت، اطلاعات مورد نیاز بر روی حافظه پایانه فروش رمزگشایی می‌گردد. در همین مرحله نیز داده‌های حساس توسط Andromeda سرقت می‌شوند.

ارتباطات بدافزار با سرورهای فرماندهی از طریق کلیدهای RC4 رمزگذاری می‌شود. موضوعی که کار شناسایی ارتباطات مخرب این بدافزار را برای نرم‌افزارها و تجهیزات دیواره آتش دشوار می‌سازد.

ضمن اینکه این بدافزار مجهز به قابلیت‌ها و امکاناتی بر عبور از سد محصولات امنیتی از جمله ابزارهای موسوم به Sandbox نیز می‌باشد.

بکارگیری ضدویروس قدرتمند و به‌روز، نصب کامل و بموقع اصلاحیه‌های امنیتی، استفاده از محصولات دیواره آتش و نفوذیاب، بهره‌گیری از نرم‌افزارها و تجهیزات ضدهرزنامه و مهمتر از همه آموزش کاربران در پرهیز از باز کردن پیوست ایمیل‌های مشکوک و کلیک بر روی لینک‌های ناآشنا همگی در کنار یکدیگر می‌توانند احتمال آلوده شدن دستگاه به این نوع بدافزارهای مخرب را به حداقل برسانند.

توضیح اینکه نمونه بررسی شده در این گزارش توسط ضدبدافزار McAfee از 8 اردیبهشت 1394 با نام W32/Worm-FFE!41C33FDB9A95 شناسایی می‌شده است. ضدبدافزار Bitdefender نیز این نمونه را با عنوان  Gen:Variant.Kazy.219676 شناسایی می‌کند.