شرکت پروفپوینت از شناسایی بدافزار جدیدی با عنوان tRAT خبر داده که حداقل در دو کارزار هرزنامهای کاربران را هدف قرار داده است.
بهنظر میرسد tRAT که نوعی اسب تروای کنترل از راه دور (Remote Access Trojan – به اختصار RAT) محسوب میشود فعلا مراحل آزمایشی خود را طی میکند و تمام قابلیتهای مورد نظر مهاجمان در آن گنجانده نشده است. اما به دلیل استفاده گروه هک TA505 از این بدافزار، توجه محققان پروفپوینت را به خود جلب کرده است.
بر اساس گزارش پروفپوینت این بدافزار از طریق دو کارزار هرزنامهای در ماههای سپتامبر و اکتبر سال میلادی جاری انتشار یافته است.
پیوست هرزنامهها در کارزار نخست فایلهای Word حاوی ماکروی مخرب گزارش شده است. وظیفه ماکرو، دریافت و اجرای tRAT است.
به گزارش شرکت مهندسی شبکه گستر، بهصورت پیشفرض در برنامههای مجموعه نرمافزاری Office در زمان باز کردن فایلهای حاوی ماکرو پیامی ظاهر شده و از کاربر خواسته میشود تا برای استفاده از کدهای بهکار رفته در فایل، بر روی دگمه Enable Content کلیک کند.
بدینمنظور مهاجمان تلاش کرده بودند تا در فایل باز شده این طور وانمود کنند که سند توسط ضدویروس Norton حفاظت شده و برای مشاهده محتوای آن باید بر روی Enable Content کلیک شود.
پروفپوینت کارزار دوم را بهمراتب پیچیدهتر دانسته و اجراکننده آن را به گروه TA505 نسبت داده است.
در کارزار مذکور علاوه بر Word از فایلهای Microsoft Publisher نیز بهره گرفته شده و هرزنامهها با عناوین و فرستندگان مختلف ارسال شده است. نمونهای از این هرزنامهها و پیوست آنها در تصاویر زیر قابل مشاهده است.
کاربران موسسات بانکی از جمله اهداف کارزار دوم معرفی شدهاند.
پس از فعال شدن ماکرو، کد مخرب tRAT دریافت شده و اجراکننده آن با نام fhost.exe در پوشه زیر کپی میشود:
- C:\Users\<user>\AppData\Roaming\Adobe\Flash Player\Services\Frame Host
میانبری از آن نیز با نام bfhost.lnk در پوشه Startup ایجاد میگردد تا از این طریق با هر بار راهاندازی شدن سیستم، بدافزار بهصورت خودکار اجرا شود.
ارتباط با سرور فرماندهی از طریق درگاه 80 برقرار میشود. دادهها پیش از ارسال، رمزگذاری شده و در قالب شانزدهشانزدهی فرستاده میشوند.
به گفته پروفپوینت، تنها فرمانی که در نسخه فعلی tRAT از آن پشتیبانی میشود دستوری با عنوان MODULE است که امکان ارسال کدهای مخرب بیشتر به دستگاه را برای مهاجمان فراهم میکند.
پروفپوینت ناقص بودن این بدافزار را نشانهای از آزمایشی بودن نسخه مورد بررسی قرار گرفته توسط محققان این شرکت میداند.
TA505 یک گروه هکر حرفهای است که از سال 2014 فعال بوده و انتشار گسترده باجافزار Locky را در کارنامه دارد.
استفاده آزمایشی از بدافزارها توسط این گروه و عدم استفاده مجدد از آنها موضوعی غیرعادی نیست. همانطور که در نمونههایی همچون BackNet،و Cobalt Strike،و Marap،و Dreamsmasher و BART این اقدام آنها تجربه شده است. با این حال محققان پروفپوینت معتقدند که واکنش TA505 نسبت به بررسی tRAT مثبت بوده و همانند باجافزار Locky و FlawedAmmy بر اساس نیازهای خود آن را سفارشی خواهند کرد. ضمن اینکه عملکرد TA505 در سال میلادی جاری را نشانهای از تمرکز بیشتر این گروه بر روی حملاتی با ماندگاری بالاتر و اهدافی درازمدتتر همچون فراهم نمودن کنترل از راه دور دستگاهها میدانند.
توضیح اینکه نمونه بررسی شده در گزارش پروفپوینت با نامهای زیر قابل شناسایی میباشد:
Bitdefender:
– Trojan.Agent.DFSO
– Trojan.GenericKD.31281156
McAfee:
– RDN/Generic.tfr
مشروح گزارش این شرکت نیز در لینک زیر قابل دریافت و مطالعه است: