یک گروه نفوذ جدید که قبلاً نشانه‌ای از آن در حملات و پویش‌ها وجود نداشت، با استفاده از بدافزارهای ویندوز و اندروید، سازمان‌ها در خاورمیانه را هدف حمله‌ی خود قرار داده است. اولین گزارش از فعالیت‌ها این گروه توسط شرکت امنیتی چینی با نام Qihoo ۳۶۰ ماه گذشته گزارش شد. محققان شبکه‌ی پالوآلتو و ClearSky همچنین بررسی‌های مشترکی را با یکدیگر در این زمینه انجام دادند. به گزارش این شرکت‌های امنیتی، این گروه نفوذ از بدافزارهای ویندوز و اندروید برای هدف قرار دادن قربانیان استفاده کرده است. محققان می‌گویند نزدیک به ۸۵ درصد از آلودگی‌ها در فلسطین و رژیم صهیونیستی بوده و حملاتی نیز در مصر و آمریکا مشاهده شده است.

باتوجه به شرکت‌ها و سازمان‌هایی که هدف حمله قرار گرفته‌اند، محققان امنیتی می‌گویند مراکز آموزشی در صدر قرار دارند و در رتبه‌های بعدی نیز سازمان‌های نظامی و شبکه‌های رسانه‌ای هستند. بدافزارهای ویندوزی که در این حملات مورد استفاده قرار گرفته KASPERAGENT و MICROPSIA نام دارد. تهدیدات اندرویدی نیز SECUREUPDATE و VAMP نام دارند.

مهاجمان بدافزارهای خود را از طریق وب‌گاه‌های خبری جعلی و رایانامه‌های فیشینگ که در آن‌ها پیوندهای کوتاه‌شده وجود دارد، توزیع می‌کنند. دو مورد از این پیوندها توسط محققان امنیتی مورد بررسی قرار گرفت و متوجه شدند صدها بار بر روی این پیوندها کلیک شده است. بدافزار KASPERAGENT در چند نمونه مشاهده شده که یک ابزار شناسایی است و برای بارگیری بار داده‌های دیگر نیز مورد استفاده قرار می‌گیرد. با این‌حال در برخی از نمونه‌ها، قابلیت‌های دیگری نیز مشاهده شده که نفوذگران را قادر می‌سازد بر روی مرورگرهای کروم و فایرفاکس گذرواژه‌ها را به سرقت ببرند، اسکرین‌شات بگیرند، کلیدهای فشرده شده در صفحه را ثبت کنند، کدهای دلخواه را بر روی سامانه‌ی آلوده اجرا کرده و داده‌ها را از دستگاه خارج شکنند و در نهایت به‌روزرسانی بر روی بدافزار انجام دهند.

خانواده‌ی دوم از بدافزار ویندوزی به مهاجم اجازه می‌دهد تا کلیدهای فشرده‌شده بر روی دستگاه را ثبت کرده، از صفحه اسکرین‌شات بگیرد و اسناد آفیس را به سرقت ببرد. محققان امنیتی در ابتدا هیچ ارتباطی بین دو بدافزار ویندوزی کشف نکردند اما در نهایت پیوندی بین آن‌ها کشف شد: یک آدرس رایانامه که برای ثبت دامنه‌ی دستور و کنترل مورد استفاده قرار گرفته بود.

برخی از این دامنه‌ها که با استفاده از این آدرس رایانامه ثبت شده بود، همچنان برای میزبانی بدافزارهای اندرویدی مورد استفاده قرار می‌گیرد. یکی از این بدافزارهای اندرویدی با نام SECUREUPDATE یک دربِ پشتی است که به‌عنوان یک بارگیری‌کننده برای سایر بدافزارها مورد استفاده قرار می‌گیرد. بدافزار اندرویدی دوم VAMP نام دارد که می‌تواند تماس‌ها را ثبت کرده، به اطلاعات مخاطبان دست یابد، به پیام‌ها دسترسی داشته و اسناد را از دستگاه قربانی به سرقت ببرد.

هر دو نوع از بدافزارهای اندرویدی و ویندوزی از وب‌گاه‌های فیشینگ برای سرقت گواهی‌نامه‌های کاربران استفاده می‌کنند. محققان شبکه‌ی پالوآلتو تقریباً ۲۰۰ نمونه از بدافزارهای ویندوزی و ۱۷ نمونه بدافزار اندرویدی را کشف کردند. این شرکت از یک سال قبل این تهدیدات را تحت نظارت خود دارد ولی بدافزار KASPERAGENT حداقل از سال ۲۰۱۵ میلادی فعال بوده است.

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

حمله‌ی مهاجمان با بدافزارهای ویندوزی و اندرویدی به سازمان‌های خاورمیانه
برچسب ها:                                                        

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *