توزیع بدافزار پیچیده NetDooka به عنوان بخشی از سرویس Pay-Per-Install

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir sophisticated malware netdooka 1
بدافزار PrivateLoader، یک سرویس بدافزار Pay-per-Install (PPI) بوده و در حال پخش یک فریمورک بدافزار جدید و پیچیده با نام «NetDooka» است. بدافزاری مانند این توانایی کنترل کامل دستگاه‌هایی را که مهاجمان آلوده کرده‌اند را به مهاجمان می‌دهد.
بدافزار NetDooka شامل چندین بخش است، از جمله:

لودر
دراپر
محافظ درایور
RAT

انواع نرم‌افزار‌های مخرب در قالب بدافزار توسط PrivateLoader در سیستم‌های آسیب دیده دانلود و نصب می‌شوند، از جمله آن‌ها می‌توان به موارد زیر اشاره کرد:

SmokeLoader
RedLine Stealer
Vidar
Raccoon
GCleaner
Anubis

در ذیل، چیزی که علی‌اکبر زهراوی و لئاندرو فروس از Trend Micro بیان کرده‌اند، آمده است:

استفاده از یک درایور مخرب سطح حمله بزرگی را برای مهاجمان ایجاد می‌کند تا از آن‌ها سواستفاده کنند. این مسأله در حالی که به آن‌ها اجازه می‌دهد از رویکرد‌هایی مانند محافظت از فرآیند‌ها و فایل‌ها، دور زدن برنامه‌های آنتی ویروس و مخفی کردن بدافزار یا ارتباطات شبکه آن از سیستم در کنار دیگر فعالیت‌ها استفاده کنند، اتفاق می‌افتد."

بدافزار PrivateLoader که به زبان برنامه‌نویسی C++ نوشته شده است، یک برنامه real-time است که از تکنیک‌های ضد تجزیه و تحلیل استفاده می‌کند که آن را پیچیده‌تر می‌نماید.

در حال حاضر، خانواده بدافزار دانلودر در میان تعدادی از عاملان مختلف تهدید مورد توجه قرار گرفته است و در حال حاضر به شکل فعال در حال توسعه است.

بررسی اجمالی حمله
کاربران از طریق دانلود سهوی PrivateLoader از طریق دانلود نرم‌افزار‌های غیرقانونی آلوده می‌شوند. پس از نصب، بدافزار NetDooka بارگذاری می‌شود، رمزگذاری غیرفعال می‌شود و سپس کامپوننت لودر اجرا می‌شود.

در مرحله بعد، بررسی‌های خاصی برای اطمینان از اجرا نشدن لودر در محیط مجازی انجام می‌شود و از سرور راه دور، یک برنامه مخرب دانلود می‌شود.
takian.ir sophisticated malware netdooka 2
یکی دیگر از عناصر لودر که توسط بدافزار اجرا می‌شود یک کامپوننت dropper است. وظیفه دراپر، رمزگشایی و اجرای payload نهایی، یک RAT کاملاً کاربردی و قدرتمند حاوی چندین ویژگی است.

مسیر آلودگی اولیه
در درجه اول از طریق بارگیری نرم‌افزار‌های غیرقانونی توزیع می‌شود، زیرا این مسیر آلودگی اولیه PrivateLoader است. در فرآیند نصب بدافزار NetDooka، دانلود‌کننده یکی از کامپوننت‌هایی را نیز نصب می‌کند که لودر را رمزگشایی و اجرا می‌نماید.
takian.ir sophisticated malware netdooka 3
برای اجرای یک پاک‌کننده آنتی ویروس، لودر علاوه بر ایجاد دسکتاپ مجازی، یک درایور کرنل نصب می‌کند. علاوه بر تعامل با حذف‌کننده، با شبیه‌سازی موقعیت‌های ماوس و اشاره‌گر آن، محیط را برای اجرای اجزای دیگر آماده می‌کند.

پس از اینکه لودر دراپر را اجرا کرد، یک RAT با ویژگی‌های کامل توسط دراپر دیگر اجرا می‌شود. RAT علاوه بر عملکرد‌های متعدد خود، دارای قابلیت‌های زیر نیز می‌باشد:

یک shell راه دور را راه‌اندازی می‌کند
داده‌های مرورگر را بدست می‌آورد
اسکرین شات می‌گیرد
اطلاعات سیستم را جمع‌آوری می‌نماید

این بدافزار نه تنها می‌تواند به‌عنوان نقطه ورود برای سایر بدافزار‌ها عمل کند، بلکه می‌تواند اطلاعات حساس را از رایانه‌ها بدزدد و بات‌نت‌هایی ایجاد کند که از راه دور کنترل می‌شوند.

برچسب ها: دراپر, Anubis, Raccoon, Vidar, SmokeLoader, NetDooka, PPI, Pay-per-Install, PrivateLoader, GCleaner, RedLine Stealer, بات‌نت, Loader, لودر, کامپوننت‌, باج‌افزار, Dropper, Remote Access Trojan, cybersecurity, RAT, malware, ransomware , Botnet, آنتی ویروس, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ