به گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، به نقل از BleepingComputer، تروجان Ursnif که با عنوان Gozi ISFB نیز شناخته میشود، بوجود آمده از تروجان بانکی اولیه Gozi است که کد منبع آن در سال ۲۰۱۴ منتشر شد. تروجانهای بانکی دیگری نیز از کد Gozi ایجاد شدند که یک نمونه از آنها GozNym است. Ursnif در حال تکامل مستمر تروجان Gozi است که طی سالها با قابلیتهای جدید بروزرسانی شده است.
تیم Cisco Talos متوجه شده است که در حملات اخیر Ursnif از یک روش شناخته شده برای انتقال بدنه استفاده شده است. در این روش از یک سند Word شامل یک کد ماکرو VBA استفاده میشود که در صورت فعال بودن ماکروها، بطور خودکار با استفاده AutoOpen اجرا خواهد شد. در صورتی که ماکروها فعال نباشند، سند مخرب تصویری به کاربر نمایش میدهد که از وی درخواست میکند تا ویژگی ماکرو را فعال کند:
در این کد ماکرو یک دستور PowerShell مخرب وجود دارد که توسط base۶۴ رمزگذاری شده است و باعث انتقال تروجان Ursnif به پوشه AppData میشود و آنرا در سیستم آلوده اجرا میکند. بدافزار پس از اجرا در سیستم، یک ورودی رجیستری ایجاد میکند که حاوی دستور بعدی تروجان است.
بدافزار از یک دستور برای پایداری بدون فایل در حافظه سیستم هدف استفاده میکند. پس از نفوذ موفق به قربانی، تروجان بانکی Ursnif از طریق HTTPS با سرورهای کنترل و فرمان (C&C) خود ارتباط برقرار میکند. به گفته پژوهشگران Talos، دادههای استخراج شده به عنوان فایلهای CAB ذخیره میشوند.
نشانههای آلودگی (IoC):
هش اسناد مخرب:
• db۷f۰dab۷۰e۱da۸ef۷a۶a۶d۹۳۸۵۳۱f۲a۶۷۷۳c۰c۵f۹۲۵f۱۹۸۷۴fd۳e۷۶۴aa۴۵۸۳۳
• e۵۸۸۲۷۹۶۷cba۵۴۴cc۱db۳d۷۵۱۰۹۵۸۷۸۱۱۵f۴۲۴۷۹۸۲fb۵۱۴bbd۷b۹۸bced۸de۶c۰
• ۳۸۴۶fe۴۴۲df۰۱۷۵۴۶۱۰۸۱dd۶۳۲۹۹۱۴۴a۲۳۳debbd۲۴۵۳deeeb۴۰۵۱۲۶۰۴۲ef۷۲d۱
• ۹۸۲cf۷af۷۱d۰fe۵۴cbdfac۷۴fd۲۹۸۵c۴۸a۰۱۱e۶ffffe۶۵۰۱۲ee۴۴۹۶bb۶۶۹b۳۲۱
• cbc۱۰db۹d۷۶۰۹e۵۴۸e۵۵۰e۷۹f۴۵۹۴۰۱۲۵۸۹۵۳۷۴b۹a۹۷e۱۳۳۰۲۰d۵۵۸۵bfd۱۸۳ed
• ۲dbd۹۴۲ac۲f۰b۹۲d۴۹۷fa۶۵۹۵f۶۳۸cbddc۲۴eab۸beffb۷cc۶۴۸a۹۱d۶۵b۴۵fa۰۹
• ۳۸c۴۵۹e۵۶۹۹۷e۷۵۹ca۶۸۰f۸۸aae۴۴۲۸d۹c۷۶e۹fae۳۲۳b۴d۲۲۳۸adf۲۰۳۰۳۶۰۰۷c
• ۱۵۳c۱۹۱ef۴afd۳eba۹df۸۹۱۵۰ac۷۲۸۷۵۷efcba۱۲۹۳۷۱۶c۲۳f۰۱۹e۳۵۲۷۰a۳۸۸c۴
• ۹۵f۵f۲ecdce۸۷۲f۵b۹۶۷۳۹f۵۴۸e۴b۷۳bb۸b۷a۲c۱۱c۴۶cfddf۳e۲۰fd۰۴abfc۰۹۱
• ۱cf۵de۷۱d۵۱d۲۷۶۹۰۷۹a۸cb۶۴e۰۵f۸۰e۷۲e۸۸۸۴۶۹۸۷۶۰۲ad۷۳۰۲۴۷۸c۰d۵۷۴caa
• c۹f۴۲b۸۶۶fc۲۰۳b۴cd۹d۰۹cfcb۰f۸fca۴۱۰۹۷۵۴۸۳۹۳c۱۵adb۰۵۵۷۶۵۲۵۲۶d۸۱۸a
• ba۳۳۲۰۱۷cbf۱۶۸۴۲۱۷۰۷۸۸f۵۶۸۸e۳b۸a۷۹c۸۲۱ef۱۳۳۱e۴۲۸d۷۷af۲۳۸c۳۷۹be۴f
• b۲۷۸b۰e۶۳acbbb۹۲۳۹۶da۴۱bffb۹۹b۹ef۰۹dff۱b۱b۸۳۸f۶۹e۲۹۲۴۵c۶۷۳۱۲۶۹f۷
• b۶۸۳۷f۴۶۱۲۴a۳۶۰ffff۲۳۵۸۲۴cc۱decda۲b۹۷d۶daf۷۳e۸۰f۳۶۱۵bce۷۷۸۱a۸۶aa
• ۱۲e۳۱۴۰۶۵۶d۷df۶۳a۱c۴۴۴b۰ebdae۷۵۰۳۹a۱۸۷۹۹e۲ebd۰۳a۸۰eeb۲۶ce۵dbb۶۶c
• d۳۳۸۳c۷ee۹۷۰۴b۵۱b۳۰۲d۷e۶۱۱۲۱۴a۷۸۰۵۰fcc۷ad۰۹۶۹۶۸۲۳۵۵۸۹۴af۵۸f۶۳cdf
• ۳eff۱۰af۳f۲afbcf۵۹d۵cf۷۷f۴۷۰abe۳cfafbe۴۸۲۵۵e۷f۶ea۵۶a۲۲۶۰۸e۳۳۲۸۲۴
• ad۸۷dcc۶۱۷e۹۹۱۴e۲۸f۷۶d۰۷۱b۵۸۶ac۲cca۹۴۵۴۰۷۸f۳۱۴۱c۱۷e۰۱۰۲c۹e۲eebaa
• ۶۵f۸۱۱۴۸۱۸۴a۷ec۷۱a۴۳e۹cd۵۰e۱۲۶۷ab۳fc۶۴f۳ef۵f۴۱f۹da۸bd۷۴۰۰۰baad۳۰
• f۷cc۱b۸f۹۳۸۳۱f۷۱۷۰e۵۳۱۷b۵b۷۹aaa۹ceb۲bc۶۷۲۴f۲۱bc۴e۲c۶cccb۷۱۶۵۵۶۲۴
• d۰۸e۹۲af۷۸cbf۷۰۴۹e۸a۹ca۷b۶ab۶۱e۸dc۴۲۷۲۹۸۴۸e۷۳b۹۸۰b۷cf۵ac۷۴d۵۰۵af
• ۱b۰b۹cfaa۷۸fac۰۸۷۵d۱۰d۰۸۷b۸۳۵۴d۵۲bffb۱f۵۷۶eec۷d۴۹acab۹d۳۳۹۴ccd۹a
• d۴۸f۲cb۵cc۵۹۵f۵cea۲۹b۷fd۲bd۸۴۶۳fdfaf۹۸۰c۴۸۷۹۲۲۹۴ebb۴c۷۹۸۵۱۶a۷eae
• ۵a۷۳۹f۰۱۸۶۷۵۰۹۴baf۰b۶۱ff۸۴۶۲b۱c۹۴۶۴۱۰f۴۷۷۶be۸۷۷۷۱۹cb۲۰f۹a۹c۱۶dfd
• d۵۳ace۵۸۹ad۱a۳۹۴۸۷f۳۶dd۳e۵۱۶ac۲a۵af۰aec۵۲۱f۲۸c۵b۷۸b۳a۴۷۶۳۶cfb۰۶۸
• ۰۷۷۸ef۰۸۵fdebd۳۹۸۵۶ebfa۴bf۱۲۰۳dcb۷ee۵۹fa۴fc۸۲a۷۱a۲ef۳a۹۴۹۱۴۳c۵۴۳
• ۴ffe۶۲۶۷۰۸fa۶a۲d۷۶۳۶۶a۹۶۲۳۵۹۶۵۸e۰d۹۱۹۵۴۴۲۶۰aa۲۱۷۹۷۲۷۹۶۴c۳۴e۱۲۰۸۰
• ۴dedf۰b۹۶b۲۵۳b۸fc۱۵b۰۰۷e۴f۶۱eb۸۵d۰۳۴۵ef۱۹f۵a۱fc۶ea۰۷۷۲۶۱۴۳۷۵f۶۰۶
• f۳c۷d۷c۰e۷۱d۱۵dc۰۳۶۱۴۹۶۴c۸۸۷a۲۴۵۹bd۰ae۴a۹۷a۳۲۴۰۱۸a۹۷dff۲۷۶۰۸e۴b۲
• ۸b۷۳b۱۲aad۱۶a۵۸d۰۷۰۴۸a۳۰۷a۷a۵۵۸۷۵۵d۰f۵ca۳۶۹dbee۸b۸۰۸a۹d۹c۹۴۱a۲۵d
• a۲ae۳۲۹bf۷۰c۲۴e۴۳۸۰d۶۱۳۳a۴c۰۲۱۲۷e۰۹۵۹۷۱۱۱e۴edfd۷۸۰۸aa۴۷۱۴۵۰d۲۳۳۲
• ۰۰۱f۵۲a۰fa۸d۴abe۳۴bfff۶c۹۶b۴۲۳۴۳۵c۰ad۳e۰۶d۴۰ece۲۲۸fe۲db۳bc۰d۱۰۶۷
• b۴b۵۶db۲ce۹۵d۵۲b۰۱۸edee۰۵f۹۹۶a۱b۵ae۱۱a۲۸۹۹۷۹e۹۸۴۱۵۷a۰efb۷bbbc۹b۹
• ۶۱۷f۱۲۶۰e۱۸۹۲۹۷۰۴c۰ef۴۵dae۵eee۷b۹۶۹۰b۷a۹۵f۶۶e۷۶ac۰۰cf۹dd۲fca۴۶۵b
• c۲۸۳c۲۶a۹۹۱fd۳۵۹۹e۸fd۹۱bf۰۵۹c۲dbb۰۷d۳d۶۳۰caf۶۹۹۵۳۱c۴۸۷۳۷faedc۳۲۵
• ۴۴۷f۲۴۹e۶۰df۰۳۲۴f۷۴a۴۰a۴b۳۵f۴۳۲b۲e۱۹f۸۰۱ce۲d۴d۶efa۱۲۶a۶۸۴۱۸۳۶b۱۱
• d۷aeacb۲b۱۲cef۸۱۳۱۵a۶۴۶۷۰a۲۷۵۷۵d۸۴ac۱af۴۵۴۱۰۰۰d۰۰۹۳fdb۳۶۷۶afc۵۱۵
• d۲۰۰cbc۲b۲۸۸۱۱bf۴۷۶۲d۶۶۴a۴b۳f۹f۵۸f۶b۲۰af۰۳۹۸۱۹۱۰dc۲۳۱۷۷۵۱f۹۱۰۲۷d
• b۴۰۹ee۲۶۹۱e۷b۲d۲۵۹۸cd۰۱ac۲۸a۰۹۱۴d۴۷۷۸da۸d۸b۷a۶۲d۲f۷۸۴۹۲b۱۴۷۹۰۹۱۷
• e۹۵af۱۰۱۲۳۴۶ab۳edbb۳۶۵f۳۴۶۳bd۰۶۰bfa۷f۱۹۴b۷c۶۸c۸e۶۸۰dfbde۴۳c۵۷eb۷
• ۰۱۵e۲b۸de۵۲۵۷۸۹f۵۵۱abb۴af۱۶۹ad۹۱۴f۲۱۸fb۰۷df۲۴۹۶c۶f۲۳d۵۱d۶a۷۱۱۶۸۸
دامنههای سرور C&C:
• levocumbut[.]com
• rapworeepa[.]com
• wegatamata[.]com
• roevinguef[.]com
• pivactubmi[.]com
• biesbetiop[.]com
• navectrece[.]com
• yancommato[.]com
• dewirasute[.]com
• ptyptossen[.]com
• mochigokat[.]com
• tubpariang[.]com
• zardinglog[.]com
• abregeousn[.]com
• aplatmesse[.]com
• abeelepach[.]com
• teomengura[.]com
• allooalel[.]club
• nublatoste[.]com
• ledibermen[.]com
• lootototic[.]com
• acnessempo[.]com
• usteouraph[.]com
• izzlebutas[.]com
• sfernacrif[.]com
• isatawatag[.]com
• duenexacch[.]com
• kyllborena[.]com
• bawknogeni[.]com
• kicensinfa[.]com
• uvuladitur[.]com
فایلهای منتقل شده:
این نامها در دستور اول PowerShell اجرا شده قرار داده شده است و در نمونههای مختلف تفاوت دارند.
• %AppData%/۱۳۷d۱dc۱.exe
• %AppData%/۱۶۸۸e۸b.exe
• %AppData%/۱bdf۶۵af.exe
• %AppData%/۱cf۸f۷bb.exe
• %AppData%/۲۶۶۲۴۳۸a.exe
• %AppData%/۲۸۴ca۷b۳.exe
• %AppData%/۳۱d۰۷۳c۱.exe
• %AppData%/۳۲۰۹f۹۳c.exe
• %AppData%/۳d۴۴۸۰c۴.exe
• %AppData%/۳fabbd۲۷.exe
• %AppData%/۴۰dc۹۶۹c.exe
• %AppData%/۴d۴۶c۴۲f.exe
• %AppData%/۵۳۰ddba۶.exe
• %AppData%/۵۶ef۲۰۵c.exe
• %AppData%/۵۸b۰۰f۳۰.exe
• %AppData%/۵۸f۹۶۰۳c.exe
• %AppData%/۶۰۴۰۴۱۲۴.exe
• %AppData%/۶۲۵۷۴d۸.exe
• %AppData%/۶۴۲۰f۶۱f.exe
• %AppData%/۶aad۹e۳۶.exe
• %AppData%/۶ed۴c۱be.exe
• %AppData%/۷۱bdcc۱۴.exe
• %AppData%/۷۵e۱d۳۴۱.exe
• %AppData%/۷bc۰a۵۱۲.exe
• %AppData%/۷df۱۵b.exe
• %AppData%/۸۴۲۸۷۹۱f.exe
• %AppData%/۸c۱d۴ca.exe
• %AppData%/۸d۰۴e۶۴a.exe
• %AppData%/۹۷۷۲۹da۰.exe
• %AppData%/۹۷۹۷۹۲۲۵.exe
• %AppData%/۹۸۳۵۰۴۱d.exe
• %AppData%/۹eb۸۲۶ef.exe
• %AppData%/a۵۴ab۰bc.exe
• %AppData%/a۹f۱df۸۴.exe
• %AppData%/aa۵cc۶۸۷.exe
• %AppData%/af۷۴ae۹۸.exe
• %AppData%/b۰۳۴a۴.exe
• %AppData%/bb۵۱۴۴e۸.exe
• %AppData%/c۱a۱۷۱۱۹.exe
• %AppData%/cbd۴۲۳۹۸.exe
• %AppData%/cf۶۳b۷۹۵.exe
• %AppData%/d۵e۱b۹۱a.exe
• %AppData%/da۰۱۷۰a۹.exe
• %AppData%/def۴b۶bf.exe
• %AppData%/e۱۹۹be۳d.exe
• %AppData%/e۵۹۲۰۴۶۶.exe
• %AppData%/e۷۹۷۲c۷۲.exe
• %AppData%/f۰۰۵cb۴۸.exe
• %AppData%/f۰۱۰۷edb.exe
• %AppData%/f۲۱۳۴۷۵۴.exe
• %AppData%/fa۴۰۸۷۹۳.exe
انتهای پیام/