آزمایشگاه Morphisec در طول دو هفته گذشته، افزایش فعالیت‌های آلوده‌سازی قربانیان توسط بدافزار AVE_MARIA را با استفاده از روش‌های مختلف فیشینگ مشاهده کرده است.

بدافزار Ave Maria اطلاعات شما را سرقت می‌کندبه گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، AVE_MARIA  یک بدافزار سرقت اطلاعات پیشرفته است که نسبتا جدید بوده و اولین مستندات مشاهده آن مربوط به اواخر سال ۲۰۱۸ است.

به نقل از این آزمایشگاه، در حالی که بدافزار قبلا از AutoIt به عنوان بخشی از مرحله دانلودکننده AVE_MARIA استفاده می‌کرد، کمپین جدیدی شناسایی‌شده که از روش‌های اضافی و پیشرفته‌تر مخفی‌کاری برای انتقال یک بدافزار سارق اطلاعات مشابه استفاده می‌کند. همچنین، مشاهده شده‌ است که با استفاده از مراحل تحویل بدافزار Orcus RAT و اجزای بدون فایلRevenge RAT، با شناسایی و حملات عمیق به فرآیندهای پردازشی مجاز ویندوز از شناسایی بدافزار جلوگیری می‌کنند.

بدافزار به دنبال یک کمپین ایمیل موفق فیشینگ، یک VBScript مخرب اجرا می‌کند. این VBScript حاوی یک فرمان PowerShell است که مولفه اولیه مرحله Recon یا شناسایی را دانلود می‌کند. مرحله اول فرمان PowerShell ، مولفه RevengeRat را مستقیما از paste.ee، یک سایت شناخته شده ذخیره متن رایگان، در حافظه دانلود می‌کند. این مولفه با سرور C&C خود ارتباط برقرار کرده و تمام اطلاعات اولیه رایانه هدف (فرآیندهای پردازشی در حال اجرا، نرم‌افزارهای ضدویروس نصب شده، نام کاربری، ماشین، درایوهای سیستم و موارد دیگر) را به عنوان بخشی از مرحله شناسایی ارسال و سپس مرحله بعدی فرمان PowerShell را اجرا می‌کند.

AVE_MARIA و دانلودکننده که بعد از مرحله اول شرح ‌داده‌ شده اجرا می‌شود، جزو بخش اصلی مرحله دوم فرمان PowerShell نیستند. این موضوع باعث پایین آمدن احتمال تشخیص بدافزار توسط ابزارهای شناسایی می‌شود. اولین URL در paste.ee نشان‌دهنده دانلودکننده است، که فرایند مدنظر خود را روی یک فرایند مجاز ویندوز اجرا می‌کند. همین ماژول قبلا نیز به عنوان بخشی از کمپینOrcus RAT استفاده شده‌ بود. دانلودکننده با استفاده از ابزارهای خودکار مبهم‌سازی می‌شود و به راحتی می‌تواند توسط ابزار de۴dot رفع‌ابهام شود.
این بدافزار با ۱۹۴,۵.۹۸[.]۱۳۹ ارتباط برقرار می‌کند که قبلا به عنوان سرور C&Cبرای کمپین Orcus RAT شناخته شده ‌بود.

نشانه‌های آلودگی (IoC):
:VBS
• hxxps://paste[.]ee/r/d۸Xpk/۰
Revenge RAT Recon Downloader:
• hxxps://paste[.]ee/r/YoY۳z/۰
-AVE_MARIA Downloader :
• hxxps://paste[.]ee/r/cbaHS
• hxxps://paste[.]ee/r/VsX۹H
AVE_MARIA:
• hxxps://paste[.]ee/r/۴AIl۰
• hxxps://paste[.]ee/r/T۳۶RL
دامنه‌ها و IP:
• list۱۳۱.ignorelist[.]com
• ۱۹۴,۵.۹۸[.]

انتهای پیام/

برچسب ها: خواندنی ، مشکلات رایانه
خبرهای مرتبط
بدافزار Emotet از ماکروهای مخرب مخفی‌کننده استفاده می‌کند
بروزرسانی‌های امنیتی جدید سیسکو در هفته اول اسفند
‫روترهای میکروتیک با شناسه CVE-2019-3924 آسیب‌پذیر هستند
تمامی نسخه‌های WinRAR به صورت بحرانی آسیب‌پذیر هستند
سیستم مدیریت محتوا دروپال دارای آسیب‌پذیری بحرانی است
آسیب‌پذیری بحرانی افشای اطلاعات Adobe رفع شد
بدافزار اندروید با استفاده از Google reCAPTCHA جعلی مخفی سازی می‌شود
ردیابی تماس و مکان تلفن‌همراه از طریق حمله ToRPEDO
خطر حمله بدافزار Farseer به سیستم‌های ویندوزی
بات‌نت Necurs تکامل می‌یابد
اخبار پیشنهادی
تبادل نظر
آدرس ایمیل خود را با فرمت مناسب وارد نمایید.
دستیابی محققان به فناوری کنترل کیفیت سازه‌‌های صنایع بزرگ
اسامی محصولات غیرمجاز مراقبت از پوست و مو اعلام شد
روند کاهشی مراجعه تهرانی‌ها برای اهدای خون/هشدار کاهش ذخایر خونی
اهدای سالیانه ۱۵۰۰ خون بند ناف به بانک ذخیره‌سازی کشور
کشف فصل‌هایی ناشناخته از ماه در بررسی نمونه‌های آپولو ۱۶
آخرین اخبار
اسامی محصولات غیرمجاز مراقبت از پوست و مو اعلام شد
کشف فصل‌هایی ناشناخته از ماه در بررسی نمونه‌های آپولو ۱۶
روند کاهشی مراجعه تهرانی‌ها برای اهدای خون/هشدار کاهش ذخایر خونی
دستیابی محققان به فناوری کنترل کیفیت سازه‌‌های صنایع بزرگ
اهدای سالیانه ۱۵۰۰ خون بند ناف به بانک ذخیره‌سازی کشور
وزارت ارتباطات: اختلال در اینترنت بین‌الملل رفع شد
چهارمین المپیاد ترکیبیات در ایران برگزار شد
اختلال در اینترنت بین‌الملل به دلیل قطعی گسترده در مسیر اروپا
سهم ۷۰ درصدی بیماری‌های غیرواگیر در مرگ‌ومیر ایرانیان
حذف نان و برنج از سبد غذایی دیابتی‌ها درست است؟
ثبت‌نام در آزمون دکتری ۱۴۰۴ امشب پایان می‌یابد