پنهان ماندن و شناسایی نشدن بدافزاری جدید در میان Exclusion های Windows Defender
اخبار داغ فناوری اطلاعات و امنیت شبکه
محققان امنیت سایبری روز سه شنبه از بدافزار جدیدی با نام "MosaicLoader" رونمایی کردند که به عنوان بخشی از یک کمپین جهانی، در پی اهدافی است که در جستجوی نرم افزارهای کرک شده می باشند.
محققان Bitdefender در گزارشی که با خبرگزاری ها به اشتراک گذاشته شده، گفتند: "مهاجمان MosaicLoader بدافزاری را ایجاد کرده اند که می تواند هر دیتایی را بر روی سیستم تحویل دهد که در نهایت به طور بالقوه از آن در راستای یک سرویس ارائه و تحویل بهره برداری کند. این بدافزار با نمایش خود به عنوان نصب کننده های کرک به سیستم های مورد نظر ورود پیدا می کند. سپس یک پخش کننده بدافزار مخرب را دانلود میکند که حاوی لیستی از URL هایی است که از سرور C2 به دست می آیند و بعد از آن داده های جدید را از لینک های دریافت شده، دانلود می نماید.".
به نقل از هکر نیوز، این بدافزار به دلیل ساختار داخلی پیچیده ای که برای جلوگیری از مهندسی معکوس و فرار از هرگونه تجزیه و تحلیل تنظیم شده، با این عنوان نامگذاری شده است.
حملات MosaicLoader متکی به یک روش کاملاً ثابت برای تحویل بدافزارها به نام آلودگی بهینه سازی موتور جستجو (SEO) است که در آن مجرمان سایبری با خرید اسلات تبلیغاتی در نتایج موتور جستجو، لینکهای مخرب خود را در هنگام جستجوی کاربران برای عبارات مربوط به نرم افزارهای غیرقانونی، به عنوان نتایج اول به نمایش می گذارد.
پس از یک الودگی موفقیت آمیز، دراپر اولیه مبتنی بر دلفی (که به عنوان یک نصب کننده نرم افزار عمل میکند) به عنوان نقطه آغازی برای بارگیری دیتای مرحله بعدی از یک سرور از راه دور عمل می کند و همچنین برای جلوگیری از اسکن شدن توسط آنتی ویروس، تلاش های مضاعفی را در مورد Windows Defender برای دو فایل اجرایی دانلود شده، به کار میگیرد.
لازم به ذکر است که این موارد Exclusion های Windows Defender را می توان در رجیستری کی های ذکر شده در زیر مشاهده کرد:
موارد استثنائات فایل و فولدر - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exccepts \ Paths
استثنائات نوع فایل - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exccepts \ Extensions
استثنائات فرآیندی - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exccepts \ Processes
یکی از باینری ها، "appsetup.exe" برای نیل به هدف ماندگاری بر روی سیستم طراحی شده است، در حالی که دومین فایل اجرایی، "prun.exe"، به عنوان دانلودر برای یک ماژول پخش کننده عمل می کند که می تواند تهدیدهای مختلف را از طریق بازیابی و استقرار لیستی از URL ها، از سرقت کنندگان کوکی گرفته تا استخراج کنندگان رمزارز و حتی استقرارهای پیشرفته تر مانند Glupteba را اجرایی نماید.
مورد دوم یعنی"prun.exe" همچنین به دلیل حجم زیاد پیچیدگی و تکنیک های ضد مهندسی معکوس که شامل جداسازی تکه های کد با بایت های تصادفی فیلر است، با جریان اجرایی طراحی شده است که "از این قسمت های تصادفی می پرد و فقط قسمت های کوچک و معنی دار را اجرا می کند"، بسیار قابل توجه و جالب است.
با توجه به قابلیت های گسترده و فراوان MosaicLoader، سیستم های به خطر افناده می توانند در یک بات نت قرار بگیرند که عامل تهدید می تواند از آن برای انتشار مجموعه های مختلف و در حال تکامل بدافزار پیچیده، از جمله بدافزارهای عمومی و سفارشی سازی شده برای بدست آوردن، گسترش دادن و نگهداری غیر مجاز جهت دسترسی به رایانه ها و شبکه های قربانی استفاده نماید.
محققان گفتند: "بهترین راه برای دفاع در برابر MosaicLoader جلوگیری از بارگیری نرم افزارهای کرک شده از هر منبعی است. ضمنا علاوه بر خلاف قانون بودن، مجرمان اینترنتی به دنبال هدف قرار دادن و سواستفاده از کاربرانی هستند که به دنبال نرم افزارهای غیرقانونی هستند، همچنین ضروری است که مرحله ای برای "بررسی دامنه منبع هر دانلود برای اطمینان از قانونی بودن فایل ها" در نظر گرفته شود.".
برچسب ها: Glupteba, Exclusion, SEO, MosaicLoader, cybersecurity, رمزارز, Windows Defender, malware, cryptocurrency, Botnet, بات نت, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری