هشدار درباره ی بدافزار پنهانی که فعالیت غیرقانونی انجام می دهد
می هاست: کارشناسان امنیتی بتازگی درباره ی بدافزاری هشدار داده اند که می تواند بدافزار بعد از آلوده کرده سیستم، بصورت پنهانی از آن به عنوان proxy بهره برده و کارهای غیرقانونی و مخربی انجام دهد.
به گزارش می هاست به نقل از ایسنا، بدافزارها شامل نرم افزارهای جاسوسی و یا برنامه های تبلیغاتی مزاحم مانند ردیابی کوکی ها است که به ردیابی علاقه مندی های کاربران در کامپیوتر می پردازند. واژه بدافزار کوتاه شده نرم افزار مخرب (malicious software) است. این واژه اصطلاحی عمومی برای توصیف همه ویروس ها، کرم ها، جاسوس افزارها و حدودا هر چیزی که بطور خاص برای لطمه به کامپیوتر و یا سرقت اطلاعات طراحی شده است.
واژه ویروس های کامپیوتری اغلب بجای بدافزار استفاده می شود، هرچند در حقیقت این دو واژه به یک مدلول نیستند و در دقیق ترین معنی، ویروس برنامه ای است که خودرا مدام تکثیر کرده و کامپیوتر را با گسترش خود از یک فایل به فایل دیگر آلوده می کند، سپس وقتی فایل ها از یک کامپیوتر به دیگری کپی شده و بین دو یا چند کامپیوتر به اشتراک گذاشته می شوند، از کامپیوتر آلوده به دیگران منتقل می شود و این روند همچنان ادامه پیدا می کند.
در همین راستا بتازگی اعلام شده بات نتی به نام Socks۵Systemz ده ها هزار سیستم را آلوده کرده است؛ این بدافزار بعد از آلوده کرده سیستم، بصورت پنهانی از آن به عنوان proxy بهره برده و کارهای غیرقانونی و مخربی انجام می دهد.
درباره جزییات این مساله می توان گفت، این بدافزار کامپیوتر ها را آلوده و آنها را به پراکسی های انتقال ترافیک جهت ایجاد ترافیک مخرب، غیرقانونی یا ناشناس تبدیل می کند. این سرویس را به مشترکینی می فروشد که برای دسترسی به آن بین ۱ تا ۱۴۰ دلار در روز بصورت رمزنگاری پرداخت می کنند. در گزارش انتشار یافته توسط BitSight، بات نت Socks۵Systemz دست کم از سال ۲۰۱۶ فعالیت داشته است.
ربات Socks۵Systemz توسط بدافزار PrivateLoader و Amadey توزیع می شود که اغلب بوسیله فیشینگ، کیت های بهره برداری، آلوده سازی فایل ها با بدافزار، فایل های اجرائی آلوده شده به تروجان دانلود شده و از شبکه های P۲P و غیره منتشر می شوند. نمونه هایی که توسط BitSight مشاهده می شوند «previewer.exe» نام دارند و وظیفه آنها تزریق ربات پراکسی به حافظه میزبان و ایجاد پایداری برای آن بوسیله یک سرویس ویندوز به نام «ContentDWSvc» است.
دستور اتصال بسیار اهمیت دارد و به ربات دستور می دهد تا یک اتصال سرور پشتیبان را بوسیله پورت ۱۰۷۴/TCP برقرار کند. بعد از اتصال به زیرساخت، دستگاه آلوده حالا می تواند به عنوان یک سرور پروکسی استفاده گردد و به سایرین فروخته شود. هنگام اتصال به سرور backconnect، از فیلدی هایی استفاده می نماید که آدرس IP، رمز عبور پروکسی، فهرست پورت های مسدود شده و غیره را تعیین می کنند. این پارامترها تضمین می کنند که فقط ربات های موجود در فهرست مجاز و با اعتبار ورود لازم می توانند با سرورهای کنترل تعامل داشته باشند و مسدود شوند.
یک زیرساخت کنترل گسترده از ۵۳ ربات پراکسی، بک کانکت، DNS و سرورهای کسب آدرس را که عمدتا در فرانسه و در سراسر اروپا (هلند، سوئد، بلغارستان) واقع شده اند، ترسیم کرد. بر طبق اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای کامپیوتر ای(ماهر) از شروع ماه اکتبر، مفسرین ۱۰۰۰۰ تلاش ارتباطی متمایز بر روی پورت ۱۰۷۴/TCP با سرورهای بک کانکت شناسایی شده را ثبت کردند که نشان دهنده تعداد مساوی قربانیان است. دسترسی به خدمات پراکسی Socks۵Systemz در دو سطح اشتراک، یعنی "Standard" و "VIP" فروخته می شود که مشتریان بوسیله درگاه پرداخت ناشناس (بدون KYC) "Cryptomus" پرداخت می کنند. مشترکین باید آدرس IP را که ترافیک پروکسی از آنجا منشأ می گیرد، اعلام کنند تا به فهرست مجاز ربات اضافه شود.
مشترکین استاندارد به یک رشته و نوع پراکسی محدود می شوند، در صورتیکه کاربران VIP می توانند از ۱۰۰-۵۰۰۰ رشته بهره گیرند و نوع پروکسی را روی SOCKS۴، SOCKS۵ یا HTTP تنظیم کنند.
گفتنی است بتازگی پژوهشگران امنیتی درباره ی کمپین جدید بروزرسانی مرورگر کروم جعلی هشدار دادند که بدافزار جدیدی به نام FakeUpdateR برای فریب کاربران و دانلود یک تروجان دسترسی ازراه دور استفاده می نماید. این کمپین پس از آن که بدافزار قبلاً وب سایت های مختلفی را تحت تأثیر قرار داده بود، آشکار شد که بعداً توسط Google نیز مورد توجه قرار گرفت.
ظهور این بدافزار جدید جعلی بروزرسانی Google Chrome یادآور این است که ارتقاء مرورگرها با بهره گیری از رویه های استاندارد از اهمیت بالایی برخوردارست بدین سبب کارشناسان به کاربران سفارش می کنند که بطور مرتب بر افزونه ها و تم های مورد استفاده در سایت های خود نظارت کنند؛ همین طور پشتیبان گیری منظم از وب سایت ها و پیاده سازی صحیح پیکربندی های فایروال جهت جلوگیری از حملات بدافزارهایی مانند FakeUpdateRU بسیار اهمیت دارد.
منبع: می هاست
این مطلب را می پسندید؟
(0)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب