Andromeda؛ بدافزاری پیشرفته
بدافزار Andromeda که یکی از بازیگران اصلی کارزارهای هرزنامهای سال 2016 بوده سابقه و تاریخچهای طولانی دارد.
در اکثر نسخههای این بدافزار که نخستین نمونه آن در سال 2011 میلادی شناسایی شد از روشهای مختلفی از جمله هرزنامههای با پیوست و یا لینک مخرب به منظور انتشار آن استفاده شده است.
به گزارش شرکت مهندسی شبکه گستر، در سالهای اخیر نیز یکی از روشهای اصلی انتشار این بدافزار سوءاستفاده از آسیبپذیریهای نرمافزارهای نصب شده بر روی دستگاه کاربران بوده است. برای این منظور گردانندگان این بدافزار بستههای بهرهجو (Exploit Kit) را در سایتها و سرویسهای تبلیغاتی آنلاین تحت تسخیر خود تزریق کرده و با هدایت کاربران به این سایتها اقدام به بهرهجویی از آسیبپذیری موجود بر روی نرمافزارهای دستگاه و اجرای از راه دور فایل مخرب Andromeda میکنند.
دستگاه آلوده شده به این بدافزار عملاً به عضوی از شبکه مخرب Andromeda در آمده و با وجود دربپشتی (Backdoor) نصب شده بر روی آن مهاجمان را قادر به اعمال خرابکاریهای بیشتر بر روی دستگاه میکنند.
به همین طریق بدافزار قادر است تا با ضبط اطلاعات محرمانه و حساسی همچون اطلاعات اصالتسنجی که توسط کاربر در سیستم وارد می شوند آنها را به سرور فرماندهی (C&C) خود ارسال کند.
شبکه مخرب (Botnet) این بدافزار قابلیت ارسال ایمیلهای انبوه و اجرای حملات توزیع شده برای از کاراندازی سرویس (DDoS) را نیز در خود دارد.
برخی نمونههای Andromeda توانایی سرقت داده از روی حافظه RAM تجهیزات موسوم به پایانههای فروش (PoS) را دارند. باید توجه داشت که هر چند ارتباطات میان پایانه فروش و سرورهای بانک رمزگذاری شده اما در حین پردازش پرداخت، اطلاعات مورد نیاز بر روی حافظه پایانه فروش رمزگشایی میگردد. در همین مرحله نیز دادههای حساس توسط Andromeda سرقت میشوند.
ارتباطات بدافزار با سرورهای فرماندهی از طریق کلیدهای RC4 رمزگذاری میشود. موضوعی که کار شناسایی ارتباطات مخرب این بدافزار را برای نرمافزارها و تجهیزات دیواره آتش دشوار میسازد.
ضمن اینکه این بدافزار مجهز به قابلیتها و امکاناتی بر عبور از سد محصولات امنیتی از جمله ابزارهای موسوم به Sandbox نیز میباشد.
بکارگیری ضدویروس قدرتمند و بهروز، نصب کامل و بموقع اصلاحیههای امنیتی، استفاده از محصولات دیواره آتش و نفوذیاب، بهرهگیری از نرمافزارها و تجهیزات ضدهرزنامه و مهمتر از همه آموزش کاربران در پرهیز از باز کردن پیوست ایمیلهای مشکوک و کلیک بر روی لینکهای ناآشنا همگی در کنار یکدیگر میتوانند احتمال آلوده شدن دستگاه به این نوع بدافزارهای مخرب را به حداقل برسانند.
توضیح اینکه نمونه بررسی شده در این گزارش توسط ضدبدافزار McAfee از 8 اردیبهشت 1394 با نام W32/Worm-FFE!41C33FDB9A95 شناسایی میشده است. ضدبدافزار Bitdefender نیز این نمونه را با عنوان Gen:Variant.Kazy.219676 شناسایی میکند.