به تازگی یک نوع جدید از تروجان Emotet رصد شده است که با جاسازی یکسری ماکروهای مخرب درون خود، توانسته قابلیت مخفی شدن از نرم‌افزارهای ضد بدافزار را بدست آورد.

بدافزار Emotet از ماکروهای مخرب مخفی‌کننده استفاده می‌کندبه گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، به نقل از وب‌سایت BleepingComputer، این تروجان از این ماکروها به منظور کپی کردن پی‌لود اصلی خود در فایل‌های XML ساخته شده، مانند اسناد word، استفاده می‌کند.

تروجان Emotet (که به نام‌های Geodo یا Heodo نیز شناخته می‌شود) یک تروجان ماژولار است که توسط گروه Mealybug توسعه داده شده است و توسط هکرها برای آلوده کردن اهداف قربانی، از طریق spam ایمیل، و به منظور دزدیدن اطلاعات مالی مانند اطلاعات ورود به حساب بانک یا کیف ارز دیجیتالی (cryptocurrency) استفاده می‌شود.پ

این تروجان همچنین امکان ربودن اطلاعات و داده‌های حساس، کلمات ورود و اطلاعات شناسایی شخصی را دارد که این موارد منجر به سرقت هویت یک کاربر می‌شود. این تروجان همچنین طراحی شده است که به عنوان یک کانال حامل برای تروجان‌های بانکی دیگر یا برای سرقت اطلاعات و بات‌های ماژولار خاص مانند Trickbot عمل کند. گروه امنیتی Menlo یک نوع جدید از تروجان Emotet شناسایی کرده که از اواسط ماه ژانویه در حال فعالیت است که سطح تشخیص ضد ویروس را، بواسطه آلودگی اولیه ماکرو VBA، حداقل می‌کند.

تیم امنیت Menlo، دو نوع از این بدافزار را، که تا اواسط ماه ژانویه منتشر شده است، رصد کرده‌اند. نوع اول، که ۸۰ درصد از نمونه‌ها را در بر می‌گیرد، یک فایل‌ XML است که هدر استاندارد XML به اضافه فرمت نمونه فایل‌های XML مستندات word ماکروسافت را دارد. این نوع از این بدافزار، همچنین حامل داده کدگذاری شده شامل یک کد ماکرو VBA مخفی شده و به صورت فشرده نیز هست. این فایل مخرب به صورت .doc خود را نام‌گذاری می‌کند. نوع دوم از این بدافزار، که ۲۰ درصد بقیه نمونه‌های تشخیص داده شده از این بدافزار را شامل می‌شود، به صورت فایل استاندارد word است که شامل کد مخرب ماکرو نیز می‌شود.

روند آلودگی بوسیله این بدافزار کاملا پیچیده است و از یک ساختار سلسله‌ مراتبی پیروی می‌کند. اسکریپت اولیه بدافزار فرایندهای چندگانه ایجاد می‌کند که منجر به شروع به کار یک اسکریپت powershell می‌شود این اسکریپت powershell پی‌لود Emotet را در پوشه TEMP دستگاه آلوده شده، بارگذاری می‌کند.

به محض اینکه این تروجان یک میزبان را آلوده می‌کند، شروع به اتصال به یک سری از URLهای لیست شده (که احتمالا سرورهای کنترل و فرمان (C&C) مهاجم است) می‌کند. این روند اتصال به صورت حلقه‌‌های پی‌در پی هستند و بعد از موفقیت، اتصال قطع می‌شود.

بدافزار Emotet از ماکروهای مخرب مخفی‌کننده استفاده می‌کند

بدافزار Emotet در واقع یک تروجان بانکی چندریختی است که می‌تواند از شناسایی شدن بوسیله روش‌های معمول مبتنی بر امضا خود را مخفی کند. این بدافزار روش‌های متعددی برای حفظ خود و کسب پایداری در دستگاه میزبان دارد، از جمله این روش‌ها استفاده از سرویس‌ها و کلیدهای ریجیستری auto –start است. این تروجان از DLL‌های ماژولار برای تکامل دائمی خود و بروزرسانی توانایی‌هایش استفاده می‌کند. علاوه بر این، این تروجان می‌تواند ماشین مجازی بودن میزبان را تشخیص می‌دهد و اگر در ماشین‌های مجازی اجرا شود می‌تواند شاخص‌های اشتباه تولید کند.

نشانه‌های آلودگی (IoC):
دامنه‌ها:
• www[.]ploeger[.]ru
• id۱۴[.]good-gid[.]ru
• zobzarrinco[.]ir
• aziendaagricolamazzola[.]it
• dmoving[.]co[.]il
• expoluxo[.]com
• kamdhenu[.]technoexam[.]com
• ldztmdy[.]cf
• mstudija[.]lt
• puntodeencuentrove[.]com
• somov-igor[.]ru
• www[.]purifiq[.]co[.]za
• www[.]topstick[.]co[.]kr
URLها:
• hxxp://stoutarc[.]com/JbCOGyE
• hxxp://www.modern-autoparts[.]com/ezFUGpI
• hxxp://antigua.aguilarnoticias[.]com/LNOGFuYx
• hxxp://uicphipsi[.]com/۴d۲۰qS_izTLi۷wu۱_uuk
• hxxp://vuonnhatrong[.]com/FSrJps_iKqwbRFjH
• hxxp://themissfitlife[.]com/۵wn_YAsyS۰M
• hxxp://evoqueart[.]com/Wk۰MdRvGzW
• hxxp://leptokurtosis[.]com/wmK۵XminG
• hxxp://mimiabner[.]com/tvprRKdT

هش‌ها:
• ۷c۵cdc۵b۷۳۸f۵d۷b۴۰۱۴۰f۲cc۰a۷۳db۶۱۸۴۵b۴۵cbc۲a۲۹۷bee۲d۹۵۰۶۵۷cab۶۵۸
• ۳۷a۰۰۰cd۹۷۲۳۳۰۷۶cd۳۱۵۰c۴dbde۱۱d۳d۳۱۲۳۷۹۰۶b۵۵۸۶۶b۷۵۰۳fdc۳۸cd۱de۰۸
نام فایل‌ها:
• Untitled_attachment_۲۲۰۱۲۰۱۹.doc
• ۲۰۵۰۸۲۲۰۴۴۸۲۸۴۵۳.doc
• ATT۲۴۶۹۵۲۸۴۵۶۲۷۸۷۶۹۶۵۳.doc
• PAY۱۹۹۴۷۲۷۰۲۷۱۶۵۹۹.doc

ایمیل‌های مبدا:
• altopro[.]com[.]mx
• bir[.]gov[.]ph
• cafemarino[.]com[.]mx
• daawat[.]com[.]pk
• ecop[.]org[.]ph
• iata[.]org
• insular[.]com[.]ph
• insurance[.]gov[.]ph
• lbstation[.]co[.]uk
• phil-union[.]com
• rubiconeng[.]com
• telkomsa[.]net
• thielenhaus[.]cn
• trmdemexico[.]com
• wbf[.]ph

نوع MIME ایمیل:
• application/xml به همراه پسوند doc.

انتهای پیام/

اخبار پیشنهادی
تبادل نظر
آدرس ایمیل خود را با فرمت مناسب وارد نمایید.