گوناگون

بهره‌گیری Emotet از ماکروهای مخرب مخفی‌کننده

به تازگی یک نوع جدید از تروجان Emotet رصد شده‌است که با جاسازی یک‌سری ماکروهای مخرب درون خود، توانسته قابلیت مخفی شدن از نرم‌افزارهای ضد بدافزار را به‌دست آورد.

این تروجان از این ماکروها به منظور کپی کردن پی‌لود اصلی خود در فایل‌های XML ساخته شده، مانند اسناد word، استفاده‌می‌کند. تروجان Emotet (که به نام‌های Geodo یا Heodo نیز شناخته می‌شود) یک تروجان ماژولار است که توسط گروه Mealybug توسعه داده شده‌است و توسط هکرها برای آلوده کردن اهداف قربانی، از طریق spam ایمیل و به منظور دزدیدن اطلاعات مالی مانند اطلاعات ورود به حساب بانک یا کیف ارز دیجیتالی (cryptocurrency) استفاده می‌شود.

این تروجان همچنین امکان ربودن اطلاعات و داده‌های حساس، کلمات ورود و اطلاعات شناسایی شخصی را دارد که این موارد منجر به سرقت هویت یک کاربر می‌شود. این تروجان همچنین طراحی شده‌است که به عنوان یک کانال حامل برای تروجان‌های بانکی دیگر یا برای سرقت اطلاعات و بات‌های ماژولار خاص مانند Trickbot عمل کند.

گروه امنیتی Menlo یک نوع جدید از تروجان Emotet شناسایی کرده که از اواسط ماه ژانویه در حال فعالیت است که سطح تشخیص ضدویروس را به‌واسطه آلودگی اولیه ماکرو VBA، حداقل می‌کند.

تیم امنیت Menlo، دو نوع از این بدافزار را که تا اواسط ماه ژانویه منتشر شده‌است، رصد کرده‌اند. نوع اول که ۸۰ درصد از نمونه‌ها را در برمی‌گیرد، یک فایل‌ XML است که هدر استاندارد XML به اضافه فرمت نمونه فایل‌های XML مستندات word ماکروسافت را دارد. این نوع از این بدافزار، همچنین حامل داده کدگذاری شده شامل یک کد ماکرو VBA مخفی شده و به‌صورت فشرده نیز هست. این فایل مخرب به صورت .doc خود را نام‌گذاری می‌کند. نوع دوم از این بدافزار که ۲۰ درصد بقیه نمونه‌های تشخیص داده شده از این بدافزار را شامل می‌شود به صورت فایل استاندارد word است که شامل کد مخرب ماکرو نیز می‌شود.

روند آلودگی به‌وسیله این بدافزار کاملا پیچیده است و از یک ساختار سلسله‌ مراتبی پیروی می‌کند. اسکریپت اولیه بدافزار فرایندهای چندگانه ایجاد می‌کند که منجر به شروع به کار یک اسکریپت powershell می‌شود این اسکریپت powershell پی‌لود Emotet را در پوشه TEMP دستگاه آلوده شده، بارگذاری می‌کند.

به محض اینکه این تروجان یک میزبان را آلوده می‌کند، شروع به اتصال به یک سری از URLهای لیست شده (که احتمالا سرورهای کنترل و فرمان (C&C) مهاجم است) می‌کند. این روند اتصال به صورت حلقه‌‌های پی‌در پی هستند و بعد از موفقیت، اتصال قطع می‌شود.

بدافزار Emotet در واقع یک تروجان بانکی چندریختی است که می‌تواند از شناسایی شدن به‌وسیله روش‌های معمول مبتنی بر امضا خود را مخفی کند. این بدافزار روش‌های متعددی برای حفظ خود و کسب پایداری در دستگاه میزبان دارد، از جمله این روش‌ها استفاده از سرویس‌ها و کلیدهای ریجیستری auto –start است. این تروجان از DLL‌های ماژولار برای تکامل دائمی خود و به‌روزرسانی توانایی‌هایش استفاده می‌کند. علاوه‌بر این، این تروجان می‌تواند ماشین مجازی بودن میزبان را تشخیص می‌دهد و اگر در ماشین‌های مجازی اجرا شود می‌تواند شاخص‌های اشتباه تولید کند.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا