محققان امنیتی یک ویروس کامپیوتری جدیدی که به گروه هکر Stealth Falcon نسبت داده شده را پیدا کردهاند. این ویروس جدید از کامپوننت داخلی سیستم عامل ویندوز استفاده میکند تا دادهها را مخفیانه به سمت سرور خرابکاها ارسال کند.
گروه Stealth Falcon از سال ۲۰۱۲ فعال هستند و هدف آنها بیشتر روزنامهنگاران، اکتیویستها، و مخالفان جاسوسافزار در خاورمیانه بخصوص در امارت متحده عربی است.
نام این بدافزار جدید را Win32/StealthFalcon گذاردند. این ویروس با استفاده از سرویس انتقال هوشمند ویندوز (BITS) با سرورهای تحت کنترل خرابکاراها (C&C) در ارتباط است و داده ارسال میکند.
BITS یک پروتکل ارتباطی در سیستم عامل ویندوز است که از پهنای باند استفاده نشده شبکه برای تسهیل انتقال ناهمزمان و الویتبندی شده بین دستگاهها در پس یا پیشزمینه استفاده میکند.
BITS معمولا در بهروزرسانی نرمافزارها استفاده میشود که شامل دانلود فایلها از سرورهای مایکروسافت ویندوز، نصب به روز رسانی در ویندوز ۱۰، پیغامرسانها و سایر اپلیکیشنهایی که برای اجرا در پیشزمینه طراحی شدهاند میشود.
طبق گفتههای محققان ESET به دلیل اینکه بیشتر وظایف BITS از طرف فایروال داخلی اجازه اجرا شدن را دارند و نرخ انتقال داده را بصورت خودکار تنظیم میکند، به بدافزار امکان اجرا شدن در پشت زمینه را میدهد.
این ویروس به جای بارگذاری دادههای جمعآوری شده بصورت متنساده، آنها را رمزگذاری میکند و سپس این کپی را از طریق پروتکل BITS به سمت سرورهای C&C ارسال میکند.
ویروس Win32/StealthFalcon بعد از سرقت موفقیت آمیز دادهها، تمام لاگها و دادههای جمعآوری شده را پاک میکند و با دادههای تصادفی آن را دوباره بازنویسی میکند تا در ریکاوری دادههای پاک شده و تحلیل و تحقیق جدی اثری از آن باقی نماند.
نظرات
این یک مطلب قدیمی است و اکنون بایگانی شده است. ممکن است تصاویر این مطلب به دلیل قوانین مرتبط با کپی رایت حذف شده باشند. اگر فکر میکنید که تصاویر این مطلب ناقض کپی رایت نیست و میخواهید توسط زمانه بازیابی شوند، لطفاً به ما ایمیل بزنید. به آدرس: tribune@radiozamaneh.com
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.