IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Java

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

بدافزاری در پوشش باج افزار؛ مایکروسافت هشدار میدهد!

 

کمپانی مایکروسافت روز پنجشنبه در مورد یک کمپین گسترده ایمیل هشدار داد که یک بدافزار مبتنی بر جاوا با نام STRRAT، در حالی که خود را به عنوان یک باج افزار نشان میدهد، برای سرقت اطلاعات محرمانه از سیستم های آلوده مورد استفاده قرار میگیرد.

تیم اطلاعات امنیتی مایکروسافت در یک رشته توییت عنوان کرد: "این RAT به دلیل اینکه اقدام به افزودن پسوند نام .crimson به فایل ها کرده و  آنها را رمزگذاری نمیکند، به رفتار شبیه به باج افزار معروف است".

به گزارش هکر نیوز، موج جدیدی از حملاتی که این شرکت هفته گذشته مشاهده کرده است، با ایمیل های هرزنامه ارسال شده از حساب های ایمیل در معرض خطر با عنوان "Outgoing Payments" که در عنوان موضوع درج شده است آغاز شده و گیرندگان را به گشودن فایل PDF مخرب که ادعا می کنند یک حواله است، ترغیب می کند اما در اصل با این کار به دامنه اصلی برای بارگیری بدافزار STRRAT متصل میشود.

این بدافزار علاوه بر برقراری ارتباط با سرور command-and-control در حین اجرا، دارای طیف وسیعی از ویژگی ها است که به آن امکان می دهد رمزهای عبور مرورگر را جمع آوری کند، لاگ کلیدهای ورودی را گردآوری کند و دستورات از راه دور و اسکریپت های PowerShell را اجرا کند.

takian.ir malware that pretends to be ransomware 1

 

STRRAT برای اولین بار در ژوئن سال 2020 توسط تیم امنیت سایبری G Data به عنوان یک تهدید بدافزاری ویندوز (نسخه 1.2) در ایمیل های فیشینگ حاوی پیوست های مخرب Jar (یا Java Archive)، مشاهده شد.

کارستن هان، تحلیلگر بدافزار G Data، توضیح داد: "این RAT متمرکز بر سرقت اطلاعات مرورگرها و سرویس گیرنده های ایمیل و رمزهای عبور از طریق ورود به سیستم است. این بدافزار از مرورگرها و سرویس گیرنده های ایمیل شامل فایرفاکس، اینترنت اکسپلورر، کروم، فاکس میل، اوت‌لوک و تاندربرد پشتیبانی می کند."

قابلیت های باج افزار آن در ابتدایی ترین حالت ممکن قرار دارد، زیرا مرحله رمزگذاری فقط تغییر نام و افزودن پسوند ".crismon" بر روی فایل ها انجام میپذیرد. کان افزود: "در صورت حذف این پسوند، می توان به طور معمول به فایل ها دسترسی پیدا کرد".

takian.ir malware that pretends to be ransomware 2

 

مایکروسافت همچنین یادآوری کرده است که نسخه 1.5 نسبت به نسخه های قبلی گیج کننده تر و ماژولارتر است، که نشان می دهد مهاجمان این عملیات به طور فعال در حال بهبود مجموعه ابزارهای خود هستند. اما این واقعیت که رفتار جعلی رمزگذاری توسط این بدافزار همچنان بدون تغییر باقی مانده است، نشان دهنده این هدف است که این گروه قصد دارند با استفاده از اخاذی، به سرعت از طریق کاربران ناآگاه سوءاستفاده و کسب درآمد کنند.