گابور Szappanos و اندرو برانت، محققان Sophos، در مقاله‌ای که امروز منتشر شد گفتند: خانواده بدافزار Gootkit بیش از نیم دهه عمر دارند، این بدافزار یک تروای بالغ با عملکردی متمرکز بر سرقت‌های بانکی است.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: hacking.jpg
مشاهده: 0
حجم: 55.2 کیلو بایت

در سال‌های اخیر تقریباً به همان اندازه که برای خود بدافزار مبتنی بر NodeJS تلاش شده است، روش‌های مقابله با آن نیز بهبود یافته است.

Gootkit برای اولین بار در سال ۲۰۱۴ به ثبت رسیده است، یک پلتفرم بدافزار مبتنی بر Javascript که قادر به انجام مجموعه‌ای از فعالیت‌های پنهانی از جمله Web Injection، ثبت فعالیت‌های کیبورد، گرفتن عکس از صفحه، ضبط فیلم و همچنین سرقت ایمیل و رمز عبور است.

زنجیره پخش این بدافزار به تکنیک‌های پیچیده‌ای متوسل شده است که شامل میزبانی از فایل‌های مخرب ZIP در وب‌سایت‌های متعلق به مشاغل قانونی است، که با دستکاری روش‌های بهینه‌سازی موتور جستجو (SEO) در میان نتایج برتر جستجو ظاهر می‌شوند.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: malware.jpg
مشاهده: 0
حجم: 87.5 کیلو بایت

علاوه بر این نتایج جستجو به وب‌سایت‌هایی اشاره می‌کند که هیچ ارتباط منطقی با درخواست جستجو ندارند، این بدان معنی است که مهاجمان شبکه گسترده‌ای از وب‌سایت‌های هک شده را در اختیار دارند.

در یک مورد که توسط محققان مشاهده شده است، به عنوان اولین نتیجه توصیه‌ای برای توافق‌نامه املاک و مستغلات، با نقض عمل پزشکی نوزادی مستقر در کانادا بعنوان نتیجه جستجو نمایش داده شد.

برای بهینه‌سازی اهداف و هدفمند کردن پخش بدافزار، برنامه طوری نوشته شده است که برای کاربران مدنظر صفحات جعلی آلوده نمایش داده شده و برای دیگر کاربران از نقاط جغرافیایی دیگر، صفحات پاک و اصلی وب‌سایت نمایش داده می‌شود.

با کلیک بر روی نتیجه جستجو، کاربر به صفحه‌ای می‌رود که نه تنها با عبارات جستجو شده در جستجوی اولیه مطابقت دارد بلکه دارای یک پیوند به فایل ZIP است که حاوی یک فایل جاوا اسکریپت است، این فایل مرحله بعدی را برای تزریق بدافزار به حافظه آغاز می‌کند.

این پروسه یک رویه چند مرحله‌ای است که با یک لودر .NET آغاز می‌شود که شامل یک بدافزار لودر مبتنی بر Delphi و حاوی Payload نهایی به صورت رمزگذاری شده است.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

74

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *