انتشار آخرین نسخه GandCrab از طریق یک جاسوسافزار جدید
مهاجمان در کارزاری سایبری در حال انتشار یک بدافزار جدید سارق اطلاعات و آخرین نسخه از باجافزار معروف GandCrab هستند.
این بدافزار سارق اطلاعات که به Vidar – برگرفته شده از کلمه نروژی Víðarr – معروف شده نخستین بار در ماه دسامبر سال میلادی گذشته شناسایی شد. Vidar قادر به سرقت مستندات، کوکیها، سوابق صفحات فراخوانی شده در مرورگر (شامل سایتهای تحت TOR)، کیفهای ارز رمز و دادههای انواع نرمافزارهای دیگر به علاوه تصویربرداری از صفحات فعال کاربر است.
بر طبق گزارشی که شرکت ملوربایت آن را منتشر کرده، Vidar که در قالب یک محصول با قیمت 700 دلار به فروش رسانده میشود کنسولی را در اختیار مهاجمان قرار میدهد که امکان مدیریت عملکرد بدافزار را فراهم کرده و اطلاعات متنوعی را در خصوص دستگاههای آلوده شده ارائه میکند.
در کارزار اخیر در زمان مراجعه کاربر به سایتهای تبلیغاتی مخرب، مهاجمان از بستههای بهرهجوی Fallout و GrandSoft برای آلودهسازی سیستمها به Vidar سود میبرند. بنابراین آن دسته از دستگاههایی که آخرین اصلاحیههای امنیتی بر روی آنها نصب شده است از گزند این بستههای بهرهجو و به تبع آن بدافزار Vidar در امان خواهند بود.
پس از آلودگی دستگاه به Vidar، بدافزار اقدام به پویش پوشهها و فایلها بهمنظور یافتن دادههای مورد نظر مهاجمان میکند. ضمن اینکه اطلاعاتی همچون نشانی IP، کشور، شهر و سرویسدهنده اینترنت (ISP) دستگاه در فایلی با نام information.txt ذخیره میشود. در ادامه این فایل به همراه سایر دادههای سرقتشده در قالب فایلی فشرده به سرور فرماندهی ارسال میگردد.
به گزارش شرکت مهندسی شبکه گستر، از جمله قابلیتهای Vidar توانایی اجرای بدافزارهای دیگر بر روی دستگاه قربانی است. در کارزار مذکور نیز مهاجمان اقدام به نصب باجافزار GandCrab بر روی دستگاههای آلوده شده به Vidar نمودهاند.
نسخه نصب شده از GandCrab در این کارزار، 5.0.4 است که در زمان انتشار این خبر راهکاری برای رمزگشایی فایلهای رمز شده توسط آن گزارش نشده است. جزییات بیشتر در خصوص باجافزار GandCrab در اینجا قابل دریافت است.
مشروح گزارش ملوربایت نیز در اینجا قابل مطالعه است.
توضیح اینکه نمونه بدافزار و باجافزار مورد بررسی در گزارش ملوربایت با نامهای زیر قابل شناسایی میباشد:
Bitdefender:
– Trojan.GenericKD.40887909
– Trojan.GenericKD.31461866
McAfee:
– RDN/Generic PWS.y
– RDN/Generic.hbg
Sophos:
– Trojan.GenericKD.40887909
– Mal/Kryptik-DG