حملات سایبری جدید؛ این دفعه با بدافزار “مهدی” !؟

روز چهارشنبه 28 تیرماه، شرکت امنیتی Kaspersky و شرکت اسرائیلی Seculert خبر از کشف حملات سایبری جدیدی دادند که از یک بدافزار جاسوسی جدید استفاده می کند. بر اساس عبارات و کلماتی که در برنامه (source) این بدافزار مشاهده شده و همچنین فایل های مخربی که بر روی کامپیوتر آلوده ایجاد می کند، نام “مهدی” یا Mahdi و یا Madi به آن داده شده است.

 بدافزار مهدی

در گزارشی که از سوی “مرکز ماهر ایران” درباره این بدافزار منتشر شده، آمده است “به طور کلی مشخص نیست چرا یک بدافزار ساده که از مدتها قبل توسط شرکتهای معتبر آنتی ویروس شناسایی شده بوده است، اکنون به طور گسترده تحت پوشش خبری قرار می گیرد.” همچنین در ادامه این گزارش، مرکز ماهر اعلام کرده است که “… بررسی های به عمل آمده بر روی نمونه های بدافزار نشان می دهد که این یک بدافزار ساده و کم هزینه است. همچنین در این بدافزار از هیچ آسیب پذیری خاصی جهت انتشار و آسیب رسانی به سیستم ها استفاده نشده است. لذا بر خلاف ادعا های صورت گرفته مبنی بر مقایسه این بدافزار با تهدیداتی نظیر flame و در نظر گرفتن آن به عنوان یک تهدید هدفمند سایبری دور از ذهن بنظر می رسد.”

شرکت ضدویروس McAfee نیز از مدتها قبل (نزدیک به شش ماه قبل) این بدافزار را شناسایی کرده و  آنرا رویداد جدیدی نمی داند. هشدارهای امنیتی McAfee مرتبط با این بدافزار نیز مدتهاست که منتشر شده است. بنا به درخواست شرکت شبکه گستر، کارشناسان McAfee براساس اطلاعاتی که توسط دو شرکت امنیتی فوق الذکر ارائه شده است، بررسی های بیشتری انجام داده و با توجه به مشخصه های MD5 منتشر شده، تاکید دارند که این بدافزار و اجزای مرتبط با آن از ماهها قبل شناسایی شده است و این بدافزار مورد جدید و ناشناخته ای نیست.

*  7b7abab9bc4c49743d001cf99737e383 : magic_machine1123.pps – Exploit-PPT.j

*  885fcebf0549bf0c59a697a7cfff39ad : moses_pic343.pps – Downloader.a!bfm

*  35b2dfd71f565cfc1b67983439c09f72 : updateoffice.exe – Generic Downloader.x!g2g

*  d9a425eac54d6ca4a46b6a34650d3bf1 : updateoffice.exe – Downloader.a!bfm

بدافزار “مهدی” فقط با امید به فریب کاربران و باز کردن فایل های پیوست شده به ایمیل توسط این کاربران، انتشار می یابد. این بدافزار از طریق ایمیل هایی که حاوی فایل مخربی از نوع Powerpoint است، منتشر می شود. در صورتیکه دریافت کننده این ایمیل مخرب اقدام به باز کردن فایل پیوست (attachment) کند، فایل Powerpoint اجرا شده و تصاویر جذابی را به نمایش در می آورد. در این لحظه با تکیه به احساسات کاربر، یک پیام بر روی صفحه نمایش داده می شود که در آن از کاربر خواسته شده تا اجازه نصب یک Screen Saver را بدهد. اگر کاربر که همچنان مجذوب تصاویر Powerpoint شده است، بی دقتی کند و دکمه تائید را بزند، یک بدافزار از نوع Malware Dropper اجرا می شود. این برنامه مخرب وظیفه ارتباط با سرور فرماندهی را دارد تا بدافزار اصلی را دریافت کرده و بر روی کامپیوتر قربانی نصب نماید. همچنین تعدادی زیاد فایلهای جانبی نیز بر روی کامپیوتر قربانی قرار داده می شود.  

علاوه بر نمایش تصاویر Powerpoint، یک فایل به نام Mahdi.txt نیز باز می گردد. فایل Mahdi.txt حاوی یک مقاله از سایت خبری The Daily Beast است. این مقاله به ارتباط بین کشورهای ایران و اسرائیل و حملات سایبری اخیر پرداخته شده است.

سایت خبری Daily Beast 

بدافزاری که بر روی کامپیوتر قربانی نصب و اجرا می شود با یک سرور فرماندهی ارتباط برقرار می کند. بررسی های صورت گرفته نشان می دهد که سرورهای فرماندهی در کشور کانادا و ایران قرار دارند ولی گونه های اولیه ای از این بدافزار که در سال گذشته شناسایی شده بودند فقط با سرورهای فرماندهی مستقر در ایران ارتباط داشتند.

برخی اطلاعات رد و بدل شده بین بدافزار “مهدی” و سرورهای فرماندهی حاوی عباراتی به زبان فارسی بوده و همچنین از تاریخ های شمسی استفاده شده است.

بدافزار مهدی

بدافزار “مهدی” اطلاعات جمع آوری شده از کامپیوتر قربانی را بصورت مخفی در پوشش یک صفحه Google به سرورهای فرماندهی ارسال می کند. اطلاعاتی که این بدافزار به دنبال آن است شامل اطلاعات شخصی کاربر، فایل های صوتی و ثبت کلیدهای زده شده بر روی صفحه کلید می شود.

تاکنون جملات سایبری مرتبط با بدافزار “مهدی” عمدتا در کشور ایران و سپس در اسرائیل و عربستان سعودی مشاهده شده است.

در تحقیقات صورت گرفته تاکنون هیچ علامت و نشانه ای از ارتباط این بدافزار جدید با دیگر بدافزارهای مشهور Flame و Stuxnet به دست نیامده است. از سوی دیگر، شماره گذاری کامپیوترهای آلوده توسط بدافزار “مهدی” نشان دهنده حملات برنامه ریزی شده و دسته بندی اهداف تعیین شده، است. به اعتقاد کارشناسان شرکت Symantec این بدافزار ساخته و پرداخته یک هکر ایرانی است که نقشه هایی در سر دارد !

30 تیر 91: اطلاعات تکمیلی

حملات مرتبط با بدافزار “مهدی” توسط ضدویروس Bitdefender با نام Trojan.Madi.A شناسایی می شوند.

31 تیر 91:  اطلاعات تکمیلی

حملات مرتبط با بدافزار “مهدی” معجونی از انواع بدافزارهای جدید و قدیمی است. برخی از اجزای این بدافزار، برنامه های مخرب و دستکاری شده ای هستند که از 4 سال قبل کشف و شناسایی شده اند. گونه های اولیه این بدافزار از آبان سال گذشته (1390) مشاهده و تحت نظر بوده اند.

ضدویروس McAfee از نسخه DAT 6615 که مربوط به اوایل زمستان سال گذشته (1390) می شود، گونه های مختلف این برافزار را شناسایی می کند. آخرین فایل های به روز رسانی ضدویروس McAfee هم اجزای مختلف این بدافزار را با نام های زیر شناسایی می نماید.

 Downloader-FAH!00F06B51EED2
Downloader-FAH!34465050CF2B
Downloader-FAH!597EA6D3D0F3
Downloader-FAH!6E6AE6C2A4DA
Downloader-FAH!ACB49835D5F6
Downloader-FAH!CAB17D3C1221
Downloader-FAH!CE1AE194C101
Downloader.a!b2m
Downloader.a!b2q
Downloader.a!bfm
Downloader.a!bg3
Downloader.a!bgt
Downloader.a!bgx
Downloader.a!bhq
Downloader.a!bj3
Downloader.a!btn
Exploit-PPT.j
Generic Downloader.x!g2g
Generic Downloader.x!g2r
Generic Downloader.x!gjt
Generic.dx!b2ep
Generic.dx!bf3k
Generic.grp!gs
Generic.grp!ha
Generic.grp!ie
Generic.grp!if
Generic.grp!it
W32/Pinkslipbot
W32/Pinkslipbot!0195D6BA9A77
W32/Pinkslipbot!58A141DBAFB8
W32/Pinkslipbot!86F0FFF4ECFB
W32/Pinkslipbot!903B825F55C2
W32/Pinkslipbot.as!a

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

5 پاسخ

  1. جالب اینجاست که یک ویروس به اصطلاح ساده اینگونه رسانه ای شده و با توجه به حمله Flame ، و ترسیدن چشم همه ؛ شرکتهایی مانند شرکت کسپرسکی نیز از جنگ بین دو کشور اسرائیل و ایران سود می برد و این جنگ روانی برای آنان تبدیل به ابزار تبلیغاتی شده است. (بهتر است از اتفاقات مشابه جنگ جهانی دوم درس بگیریم و فریب هر سودجویی را نخوریم، این احتمال وجود دارد که او از دشمن بیشتر مزد بگیرد و علیه ما اقدام کند! . مانند همین جنگ روانی و استرس یک روزه که در سایت کسپرسکی به تاریخ 17 جولای 2012 منتشر شده ولی در حقیقت مدتها پیش شناسایی شده است)
    من ابتدا این خبر را در تابناک خواندم و آنچنان وحشت کردم که سرورهای حساس مجموعه را تا زمان خواندن خبر دوم شما خاموش کردم.
    آخر یکی نیست که به رسانه های داخلی و خارجی بگوید که با دید فنی موضوع را پوشش دهند؟
    “شناسایی یک بدافزاری که از قبل شناسایی شده است که دیگر این شلوغ کاری ها را ندارد”

    1. اتفاقا باید چنین رویدادهایی را بسیار موشکافانه مورد بررسی قرارداد و اتفاقا باید از چنین رخدادهایی ترسید. امنیت که شوخی بردار نیست. اینکه بدافزارهای قدیمی با قدرت های جدید مجددا ظهور می کنند خود نشانه ای از چند لایه ای بودن تهدیدات است.

      1. این بدافزار مدتها پیش شناسایی شده بود و اطلاعات دقیق آن در سایتهای معتبر مکا آفی وجود دارد و جدیدأ ظهور نکرده ، فقط کسپرسکی آنرا در بوق و کرنا کرده که وحشت آفرینی کند. برای اطلاعات شما :
        اگر کسپرسکی جدیدأ آنرا با یک یا دو نام می شناسد و گونه های دیگر آنرا نمیشناسد ، مک آفی آنرا با این نامها می شناسد و این بد افزار با قدرت جدید نیست و چند ماه پیش نیز شناسایی شده:
        Downloader-FAH!00F06B51EED2
        Downloader-FAH!34465050CF2B
        Downloader-FAH!597EA6D3D0F3
        Downloader-FAH!6E6AE6C2A4DA
        Downloader-FAH!ACB49835D5F6
        Downloader-FAH!CAB17D3C1221
        Downloader-FAH!CE1AE194C101
        Downloader.a!b2m
        Downloader.a!b2q
        Downloader.a!bfm
        Downloader.a!bg3
        Downloader.a!bgt
        Downloader.a!bgx
        Downloader.a!bhq
        Downloader.a!bj3
        Downloader.a!btn
        Exploit-PPT.j
        Generic Downloader.x!g2g
        Generic Downloader.x!g2r
        Generic Downloader.x!gjt
        Generic.dx!b2ep
        Generic.dx!bf3k
        Generic.grp!gs
        Generic.grp!ha
        Generic.grp!ie
        Generic.grp!if
        Generic.grp!it
        W32/Pinkslipbot
        W32/Pinkslipbot!0195D6BA9A77
        W32/Pinkslipbot!58A141DBAFB8
        W32/Pinkslipbot!86F0FFF4ECFB
        W32/Pinkslipbot!903B825F55C2
        W32/Pinkslipbot.as!a

    1. Avira خیلی خوب است اما ابزار مدیریتی خوبی ندارد و برای شبکه های بزرگ مناسب نیست ، خطای شناسایی زیادی هم دارد و برای سرورهای حساس کمی خطرناک است ، اما برای کاربران غیر حساس و خانگی خوب است.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *