محققین امنیت دو جنبش بدافزاری جداگانه کشف کرده ­اند، یکی از آنها انتشار تروجان دزدی اطلاعات Ursnif و دیگری باج افزار GandCrab است. و این در حالی است که باج افزار تنها بر روی قربانیانی تاثیر می­ گذارد که آلوده به ویروس Ursnif باشند.

با این که به نظر می­ رسد این دو جنبش، کار دو گروه مجرم سایبری جداگانه است، تشابهات زیادی در آنها دیده می­ شود. برای مثال هر دو حمله با ایمیل­ های فیشینگ آغاز می­ گردد که در آن یک فایل ورد با ماکروی مخرب قرار داده شده و برای ارسال آن از  PowerShell بدون فایل استفاده می­ کنند.

Ursnif یک بدافزار دزدی اطلاعات است که معمولا اطلاعات حساس را از کامپیوتر آلوده شده می­ دزدد و توانایی جمع آوری اطلاعات بانکی، فعالیت­های اینترنتی، اطلاعات سیستم و فرآیندهای آن، و همچنین پیاده سازی راه­های نفوذ جدید را دارا می­ باشد.

GandCrab باج­ افزاری است که اوایل سال قبل کشف شد و به سرعت در حال انتشار است. مثل هر باج ­افزار دیگری، فایل­های سیستم قربانی را رمزنگاری می­ کند و برای تحویل کلید و رمزگشایی، از قربانی ارز مجازی درخواست می کند. توسعه دهندگان این برنامه، برای پرداخت وجه، پول مجازی DASH درخواست می­ کنند که رد یابی آن بسیار پیچیده است.

 

آلوده شدن به Ursnif  و GandCrab

اولین جنبش انتشار این دو بدافزار توسط گروه امنیتی Carbon Black کشف گردید که چیزی نزدیک به 180 گونه متفاوت فایل مایکروسافت ورد یافت شد. این ماکروهای خطرناک تمامی کاربران اینترنت را هدف قرار داده بود.

در صورت موفقیت این جنبش، ماکروی مخرب یک اسکریپت PowerShell اجرا می­ کند، که با به کارگیری یک سری تکنیک ها فایل­های لازم برای تروجان Ursnif و باج­افزار GandCrab را دانلود و در سیستم قربانی اجرا می­ کند.

اسکریپت PowerShell به صورت دودویی رمزگذاری شده که آغازگر مرحله بعدی انتشار می­ باشد و وظیفه دانلود فایل­های اولیه بدافزار را به عهده دارد.

اولین فایل یک PowerShell است که معماری سیستم قربانی را بررسی می­ کند و سپس با توجه به شرایط آن سیستم فایل بعدی را از سایت Pastebin دانلود می­ کند که در حافظه اجرا می­ شود و برای آنتی ویروس های سنتی کار تشخیص را سخت تر می­ کند.  

محققین کاربن بلک بیان کردند که این اسکریپت PowerShell یک نسخه از ماژول  Empire invoke-PSinject با اندکی تغییرات می­ باشد. این اسکریپت یک فایل پورتابل قابل اجرا، که به صورت دودویی رمزگذاری شده را دریافت می­ کند و آن را به فرآیندهای فعلی PowerShell اضافه می ­کند.

در آخرین مرحله باج ­افزار GandCrab بر روی سیستم قربانی نصب شده و  تا زمانی است که ارز دیجیتالی پرداخت نشده هیچ گونه دسترسی به او داده نمی شود.

در همین حین، بدافزار فایل قابل اجرای Ursnif را هم دانلود می ­کند و به محض اجرا، سیستم را شناسایی کرده و تمامی فعالیت­های اینترنتی را تحت نظارت قرار می­ دهد تا اطلاعات وی را جمع ­آوری کند، سپس آنها را به سرور فرماندهی و کنترل مهاجم ارسال می­ کند.

محققین بیان کردند: در حین حملات، تعداد زیادی از تروجان های Ursnif در سرور های Bevendbrec[.]com جا داده شده بود. کاربن بلک توانست چیزی حدود 120 نسخه مختلف Ursnif  را در iscondisth[.]com و Bevendbrec[.]com پیدا کند.

بدافزار دزدی اطلاعات Ursnif

مشابه این جنبش بدافزاری ، جنبش دومی هم در حال رخ دادن بود که توسط محققین Cisco Talos کشف گردید، و در آن از فایل وردی که ماکروی مخرب داخلش نوشته شده بود، برای انتشار نوع دیگری از همان بدافزار Ursnif استفاده می­ شد.

این بدافزار هم در چند مرحله سیستم قربانی را آلوده می­ کند که از ارسال ایمیل فیشینگ آغاز شده، دستورات مخرب PowerShell، دستیابی و حضور در سیستم قربانی بدون استفاده از هیچ فایلی را ممکن می ­سازد، و در مرحله­ بعدی ویروس دزدی اطلاعات Ursnif را دانلود و در کامپیوتر قربانی نصب می ­کند.

محققین Talos افزودند که دستورات PowerShell دارای سه قسمت می­ باشد. قسمت اول تابعی ایجاد می­ کند که بعدا برای رمزگشایی دستورات رمزگذاری شده دودویی در PowerShell استفاده می ­شود. دومین قسمت یک بایت آرایه ایجاد می­ کند که یک DDL مخرب در آن قرار داده می­ شود. در قسمت سوم تابع رمزگذاری شده دودویی که در مرحله اول ساخته شده بود اجرا می ­شود، PowerShell رمزگشایی شده را متعاقباً می­ توان با تابع Shorthand Invoke-expression)iex) اجرا کرد.

به محض اجرا در سیستم قربانی، بدافزار شروع به جمع آوری اطلاعات می ­کند. و آنها را در فایلی به فرمت CAB ذخیره می­ کند. سپس آن را از طریق یک ارتباط امن برای سرور فرماندهی و کنترل مهاجم ارسال می­ کند.

 

نظرات

نظر (به‌وسیله فیس‌بوک)