به‌روزرسانی روزانه بدافزار Rietspoof توسط مهاجمان

Rietspoof عنوان خانواده بدافزاری جدیدی است که در چندمرحله‌ای فایل‌ها و کدهای مخرب مورد نظر مهاجمان را بر روی سیستم‌های آلوده شده به خود به اجرا در می‌آورد.

بر اساس گزارشی که شرکت ضدویرس اوست آن را منتشر کرده است نخستین نسخه از Rietspoof در تابستان امسال شناسایی شد. از آن زمان تا کنون نسخه‌های متعددی از این بدافزار عرضه شده است.

عملکرد بدافزار بر روی اهداف مختلف متفاوت گزارش شده است. به‌نحوی که برخی از آنها در عملکرد بات‌گونه قادر به دریافت / ارسال فایل، اجرای یک پروسه یا فراخوانی تابع موسوم به خودکشی (Self-destruct) هستند و برخی دیگر صرفا یک دریافت‌کننده (Downloader) معمول فایل هستند.

همچنین در حالی که تا روزهای ابتدایی سال میلادی جاری، بازه انتشار نسخه‌های جدید بدافزار توسط مهاجمان ماهانه بوده، اکنون مدتی است که این دوره زمانی به روزانه کاهش یافته است.

روش انتشار این بدافزار، برنامه‌های پیام‌رسان فوری نظیر Skype و Messenger گزارش شده است.

اجراکننده اصلی بدافزار فایلی مبتنی بر Visual Basic Script است که به‌شدت مبهم‌سازی شده است. از فایل مذکور، فایلی CAB قابل استخراج است که اجرای مرحله دوم بدافزار را بر عهده دارد. این فایل CAB در ادامه به فایلی اجرایی با امضایی معتبر تبدیل می‌شود. در آخرین مرحله نیز یک دریافت‌کننده توسط این فایل اجرایی بر روی دستگاه قربانی نصب می‌شود.

به گزارش شرکت مهندسی شبکه گستر، وظیفه دریافت‌کننده همان طور که از نام آن پیداست دریافت و اجرای کدهای مخرب و بدافزارهای بیشتر بر روی دستگاه قربانی است.

Rietspoof برای برقراری ارتباط با سرور فرماندهی (Command & Control) خود که نشانی IP آن در کد بدافزار آمده است از پودمان TCP بهره می‌گیرد. این ارتباطات در حالت CBC با استفاده از الگوریتم AES رمزگذاری می‌شوند. به نظر می‌رسد که سرور فرماندهی بر اساس نشانی IP دستگاه قربانی، فرامین متفاوتی را به بدافزار ارسال می‌کند. برای مثال، محققان اوست اعلام کرده‌اند در حالی که در زمان بررسی اولیه، بدافزار هیج به‌روزرسانی خاصی را از سرور فرماندهی دریافت نمی‌کرد پس از تغییر نشانی IP آن به یک نشانی تحت محدوده کشور آمریکا عملکرد آن کاملا متفاوت شد.

نسخه‌های جدید این بدافزار برای ماندگار کردن خود بر روی دستگاه قربانی فایلی با نام فریبنده WindowsUpdate.lnk در پوشه Startup کپی می‌کنند. این فایل lnk به فایل اجرایی بدافزار اشاره کرده و عملا این مکانیزم منجر به اجرای بدافزار با هر بار راه‌اندازی شدن دستگاه می‌شود.

مشروح گزارش شرکت اوست در لینک زیر قابل دریافت و مطالعه است:

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *