استفاده از فایل مجاز VMware برای عبور از سد ابزارهای امنیتی
محققان بدافزار بانکی جدیدی را شناسایی کردهاند که با بهرهگیری از یک فایل مجاز متعلق به شرکت VMware از سد ابزارهای امنیتی عبور کرده و خود را بر روی دستگاه قربانی نصب میکند.
بر اساس گزارشی که بخش Talos شرکت Cisco آن را منتشر کرده این بدافزار بانکهایی در آمریکای جنوبی خصوصاً در برزیل را هدف قرار داده است.
همچنین این بدافزار از تکنیکهای متعددی برای مخفی ماندن از دید محصولات امنیتی استفاده میکند.
به گزارش شرکت مهندسی شبکه گستر، روش انتشار بدافزار مذکور از طریق هرزنامههایی به زبان پرتغالی است که در آنها فایلی با نام و پسوند BOLETO_2248_.html پیوست شده است. کلمه Boleto به نوعی فاکتور در برزیل اشاره میکند.
در صورت باز شدن فایل مذکور توسط کاربر، صفحهای اینترنتی بر روی دستگاه کابر فراخوان میشود. صفحه فراخون شده خود نیز کاربر را به صفحهای دیگر و آن صفحه هم کاربر را مجدداً به صفحهای دیگر هدایت میکند. در نهایت پس از سه بار تغییر مسیر اینترنتی فایل BOLETO_09848378974093798043.jar بر روی دستگاه دریافت میشود.
در صورت اجرا شدن BOLETO_09848378974093798043.jar توسط کاربر، فرآیند نصب شدن بدافزار بانکی در قالب یک پروسه Java آغاز میشود.
در نخستین مرحله کد Java فایلهای مخرب دیگری را از نشانی hxxp://104[.]236[.]211[.]243/1409/pz.zip دریافت کرده و آنها را در مسیر زیر ذخیره میکند:
- C:\Users\Public\Administrator
در ادامه کد Java فایلهای دریافت شده را تغییر نام داده و فایل vm.png را که فایل مجاز و امضاء شده توسط شرکت VMware است اجرا میکند.
در این بدافزار فایل مخرب vmwarebase.dll به عنوان فایلی وابسته به vm.png معرفی میشود. از آنجا که در بسیاری از محصولات امنیتی چنانچه پروسهای مجاز و قابل اعتماد تعریف شده باشد سایر پروسههای ایجاد شده توسط آن نیز بدون بررسی شدن مجاز تلقی میشوند، این بدافزار هم از این طریق، پروسه مخرب vmwarebase.dll را به اجرا در میآورد.
این تکنیک پیشتر نیز توسط بدافزارهایی همچون PlugX نیز مورد استفاده قرار گرفته بودند.
هدف vmwarebase.dll تزریق و اجرای کد مخرب فایل prs.png در یکی از پروسههای explorer.exe و notepad.exe است.
همچنین بخش اصلی بدافزار پروسههای کنترلی و رصدکننده نظیر taskmgr.exe و msconfig.exe را متوقف میکند.
همچنین با تعریف کلیدی با نام مجاز و فریبنده Vmware Base در مسیر زیر در محضرخانه خود را در هر بار راهاندازی سیستم بصورت خودکار اجرا میکند:
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Vmware Base
این بدافزار با رصد کردن عنوان پنجرههای باز شده، در صورت تطابق آنها با هر یک از موارد درج شده در فهرست نامهای مورد استفاده مؤسسات مالی و بانکی که در کد بدافزار درج شده اقدام به سرقت اطلاعات وارد شده در سایتها و برنامههای بانکی میکند.
مشروح گزارش Talos در اینجا قابل دریافت و مطالعه است.