در عصر دانایی با دانا خبر      دانایی؛ توانایی است      دانا خبر گزارشگر هر تحول علمی در ایران و جهان      دانایی کلید موفقیت در هزاره سوم      
کد خبر: ۱۲۶۰۲۷۹
تاریخ انتشار: ۲۴ شهريور ۱۴۰۰ - ۱۰:۵۰
هکرها برای ارائه بدافزار BazarBackdoor از طریق فایل‌های RAR و ZIP از تکنیک چند برنامه فشرده‌ساز استفاده می‌کنند.

شهربانو شیرزاد، خبرگزاری دانا، سرویس دانش و فناوری؛ محققان امنیتی در Confence Intelligence یک کمپین فیشینگ را مورد تجزیه و تحلیل قرار دادند. این کمپین از تکنیک چند فشرده ساز برای تحویل بدافزار BazarBackdoor از طریق آرشیوهای RAR و ZIP استفاده کرده بود.

گریز از درگاه ایمیل امن (SEG)؛ کلید تاثیر حداکثری بار حمله فیشینگ است و استفاده از روند افزایشی فایل‌های تو در تو به این هدف کمک کرده است. محققان می‌گویند: این کمپین فیشینگ نشان می‌دهد که یک فایل با چندین لایه فشرده‌سازی می‌تواند از کشف توسط SEG جلوگیری کند و به کاربر نهایی برسد.

بدافزار BazarBackdoor از طریق فایل‌های تودرتوی آرشیوهای RAR و ZIP ارائه می‌شود.

BazarBackdoor یک تروجان کوچک است که برای جمع آوری ردپای یک سیستم و استقرار بدافزارهای دیگر استفاده می‌شود.

این یک بدافزار مخفی دانلود کننده است که توسط همان گروه یعنی TrickBot ارزیابی و استفاده می‌شود. یک کمپین مشابه BazarBackdoor که اوایل این ماه اتفاق افتاد، مخاطبان کسب و کار را با موضوع روز محیط زیست با یک ضمیمه بایگانی فریب داد.


 
کمپین فیشینگ با طرح زمینه روز محیط زیست با یک فایل آرشیو ضمیمه

اینجا هر دو ضمیمه با پسوندهای rar و zip شامل انواع مختلفی از آرشیوها هستند؛ به عبارت دیگر هر یک از این بایگانی‌های ضمیمه شده دارای چندین بایگانی مختلف هستند که درون آنها قرار گرفته است.


فایل ضمیمه شده "Info.rar" خود شامل چندین rar است که فایل جاوا اسکریپت را نگه‌داری می‌کنند.


فایل ضمیمه شده "Brief for colleaques.zip " که شامل چندین فایل ضمیمه نگه دارنده فایل جاوا اسکریپت است.

Cohense Intelligence خاطر نشان می‌کند که فشرده‌سازی انواع فایل‌های بایگانی بر عامل تهدید تمرکز می‌کند؛ چرا که احتمال دارد که به دلیل یک فایل ناشناخته، عدم فشرده‌سازی SEG محدود شود یا شکست بخورد. بنابراین، بایگانی‌های حاوی پرونده‌های جاوا اسکریپت که بدافزارTrickbot Bazar Backdoor را تحویل می‌دادند؛ یک درب پشتی مخفیانه هستند که بر روی شرکت‌ها استفاده می‌شوند تا امکان کنترل از راه دور این اهداف توسط متجاوزان فراهم شود.

تکنیک استفاده شده در اینجا png payload است وقتی مجددا علامت گذاری می‌شود و در فایل‌های سیستم حرکت می‌کند؛ قابل اجرا است و سپس جاوا اسکریپت بارگیری را شروع می‌کند که نمونه‌ای ازBazar Backdoor است. محققان اظهار داشتند که بدافزار Bazarbackdoor ممکن است Cobalt Strick را بارگیری و اجرا کند. این یک جعبه ابزار قانونی است که برای تمرین طراحی شده تا در محیط گسترش یابد.

حملات فیشینگ با تکامل تکنیک‌ها به موفقیت خود ادامه می‌دهند. پس از دستیابی به سیستم‌های موجود در شبکه، عوامل تهدید می‌توانند حملات باج‌افزار را آغاز کنند. اطلاعات حساس را سرقت یا دسترسی را به سایر مجرمان اینترنتی بفروشند.


ارسال نظر