توزیع بدافزار Ursnif و باج‌افزار GandCrab در دو پویش مختلف

محققان امنیتی دو پویش جدید را شناسایی کرده‌اند که تازگی فعال شده‌اند. یکی از این پویش‌ها به توزیع بدافزار Ursnif و دیگری به توزیع باج‌افزار GandCrab می‌پرازند. محققان اعلام کردند عوامل این دو پویش با هم متفاوت هستند ولی شباهت‌هایی هم بین آن‌ها وجود دارد. مهاجمان از رایانامه‌های فیشینگ برای توزیع اسناد مخرب مایکروسافت ورد استفاده می‌کنند که از طریق پاورشِل در ادامه بدافزارها را دریافت می‌کند. شرکت‌های امنیتی که این پویش‌ها را پیگیری می‌کنند، ۱۸۰ نمونه مختلف از سند مخرب مایکروسافت ورد را مشاهده کرده‌اند.

 

پاورشِل مخرب که توسط سند ورد توزیع می‌شود با بیس۶۴ کدگذاری شده و اسکریپت مرحله‌ی دوم را اجرا می‌کند. اسکریپت مرحله‌ی دوم نیز به نوبه‌ی خود بار داده‌ی مخرب را از Pastebin بارگیری می‌کند که در حافظه‌ی سیستم اجرا می‌شود. در نهایت بار داده، بدافزارهای GandCrab و Ursnif را از کارگزار راه دور دریافت کرده و برای جمع‌آوری اطلاعات و نظارت بر روی سیستم هدف نصب می‌کند. محققان تقریبا ۱۲۰ نمونه از بدافزار  Ursnif را شناسایی کردند که بر روی دامنه‌های iscondisth[.]com و bevendbrec[.]com, میزبانی می‌شدند.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید