محققان امنیتی یک ویروس کامپیوتری جدیدی که به گروه هکر Stealth Falcon نسبت داده شده را پیدا کرد‌ه‌اند. این ویروس جدید از کامپوننت داخلی سیستم عامل ویندوز استفاده می‌کند تا داده‌‌ها را مخفیانه به سمت سرور خرابکاها ارسال کند. 

گروه Stealth Falcon از سال ۲۰۱۲ فعال هستند و هدف آنها بیشتر روزنامه‌نگاران، اکتیویست‌ها، و مخالفان جاسوس‌افزار در خاورمیانه بخصوص در امارت متحده عربی است.

نام این بد‌افزار جدید را Win32/StealthFalcon گذاردند. این ویروس با استفاده از سرویس انتقال هوشمند ویندوز (BITS) با سرورهای تحت کنترل خرابکاراها (C&C) در ارتباط است و داده ارسال می‌کند. 

BITS یک پروتکل ارتباطی در سیستم عامل ویندوز است که از پهنای باند استفاده نشده شبکه برای تسهیل انتقال ناهمزمان و الویت‌بندی شده بین دستگاه‌ها در پس یا پیش‌زمینه استفاده می‌کند. 

BITS معمولا در به‌روز‌رسانی‌ نرم‌افزارها استفاده می‌شود که شامل دانلود فایل‌ها از سرورهای مایکروسافت ویندوز، نصب به روز رسانی در ویندوز ۱۰، پیغام‌رسان‌ها و سایر اپلیکیشن‌هایی که برای اجرا در پیش‌زمینه طراحی شده‌اند می‌شود. 

طبق گفته‌های محققان ESET به دلیل اینکه بیشتر وظایف BITS از طرف فایروال داخلی اجازه اجرا شدن را دارند و نرخ انتقال داده را بصورت خودکار تنظیم می‌کند، به بدافزار امکان اجرا شدن در پشت زمینه را می‌دهد.  

این ویروس به جای بارگذاری داده‌‌های جمع‌آوری شده بصورت متن‌ساده، آنها را رمزگذاری می‌کند و سپس این کپی را از طریق پروتکل BITS به سمت سرورهای C&C ارسال می‌کند.

ویروس Win32/StealthFalcon بعد از سرقت موفقیت آمیز داده‌ها، تمام لاگ‌ها و داده‌های جمع‌آوری شده را پاک می‌کند و با داده‌های تصادفی آن را دوباره بازنویسی می‌کند تا در ریکاوری داده‌های پاک شده و تحلیل و تحقیق جدی اثری از آن باقی نماند. 

 

نظرات

نظر (به‌وسیله فیس‌بوک)