[av_textblock size=” font_color=” color=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”]
[/av_textblock]
[av_heading heading=’انتشار انواع بدافزارها در کارزار هرزنامهای “نامه عاشقانه”’ tag=’h1′ style=’blockquote modern-quote modern-centered’ size=” subheading_active=” subheading_size=’15’ padding=’10’ color=’custom-color-heading’ custom_font=’#4ecac2′ av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
مهاجمان در یک کارزار گسترده هرزنامهای که به “نامه عاشقانه” (Love Letter) معروف شده در حال آلودهسازی دستگاهها به انواع بدافزارها از جمله باجافزارها و استخراجکنندگان ارز رمز هستند.
پیوست هرزنامههای ارسالی فایل ZIP است که در آن یک فایل مخرب JavaScript قرار دارد.
فایل JavaScript که محتوای آن برای بیاثر کردن یا حداقل دشوار نمودن فرایند شناسایی مبهمسازی (Obfuscate) شده است فرمانی را از طریق پروسه معتبر PowerShell به اجرا در میآورد. وظیفه فایل مذکور دریافت فایلی مخرب با نام krablin.exe از سایت slpsrgpsrhojifdij[.]ru، ذخیره آن تحت نام winsvcs.exe در مسیر [UserProfile%\[number%\ و سپس اجرا نمودن بر روی دستگاه قربانی است.
[/av_textblock]
[av_image src=’http://sgap.co/wp-content/uploads/2019/01/2019-01-10-ISC-diary-image-03.jpg’ attachment=’2952′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’ admin_preview_bg=”][/av_image]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
در ادامه winsvcs.exe خود نیز تلاش میکند تا پنج بدافزار دیگر را دریافت کرده و سپس آنها را اجرا کند. باجافزار GandCrab، استخراجکننده XMRig و ارسالکننده هرزنامه Phorpiex نمونههایی از این بدافزارها گزارش شدهاند.
winsvcs.exe حافظههای شدنی (Removable Storage) متصل به دستگاه را هم آلوده کرده و عملا آنها را به ناقل بدافزار تبدیل میکند.
[/av_textblock]
[av_image src=’http://sgap.co/wp-content/uploads/2019/01/2019-01-10-ISC-diary-image-00a-1.jpg’ attachment=’2953′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’ admin_preview_bg=”][/av_image]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
عناوین استفاده شده در هرزنامههای مذکور بهشرح زیر میباشد:
- : )
- ; )
- : D
- I love you
- My letter just for you
- Please read and Reply
- Wrote this letter for you
- Just for you!
- This is my love letter to you
- My love letter for you
- Wrote my thoughts down about you
- Wrote the fantasy about us down
- Felt in love with you!
- Always thinking about you
- You are my love!
موارد زیر نیز فهرست ایمیل هایی است که در قسمت From این هرزنامهها مشاهده شدهاند:
- Teddy Bailey <Teddy31[@]8038.com>
- Imogene Carter <Imogene99[@]0354.com>
- Imelda Jones <Imelda31[@]1529.com>
- Ted Hall <Ted93[@]4302.com>
- Deanne Harris <Deanne11[@]5387.com>
- Bob Ross <Bob01[@]0437.com>
- Teddy Gonzalez <Teddy21[@]8381.com>
- Bradford Reed <Bradford99[@]2804.com>
- Taylor Phillips <Taylor74[@]4656.com>
- Deena Hernandez <Deena49[@]1659.com>
استفاده از ضدویروس قدرتمند و بهروز، بکارگیری محصولات ضدهرزنامه (Anti-spam)، کنترل حافظههای جداشدنی و آگاهیرسانی به کاربران در خصوص خطرات باز کردن لینکها و اجرای فایلهای ناآشنا همگی در کنار یکدیگر میتواند سازمان را از گزند اینگونه تهدیدات حفظ کند.
توضیح اینکه فایلهای مخرب JavaScript مورد اشاره در این مطلب با نامهای زیر قابل شناسایی میباشند:
Bitdefender:
– JS:Trojan.Cryxos.1925
– Trojan.Agent.DNBH
– Trojan.GenericKD.31505957
McAfee:
– JS/Nemucod.zw
Sophos:
– JS/DwnLdr-XCT
– JS/DwnLdr-XCS
[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
علیرضا خبیر
مشاور و مدرس تست نفوذ و امنیت شبکههای اداری و صنعتی
[/av_textblock]
[av_heading tag=’h1′ padding=’10’ heading=’لینک ها ‘ color=’custom-color-heading’ style=’blockquote modern-quote modern-centered’ custom_font=’#37ef34′ size=” subheading_active=” subheading_size=’15’ custom_class=” admin_preview_bg=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
بخش آموزش های سایت
[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
[/av_textblock]
[av_font_icon icon=’ue8b7′ font=’entypo-fontello’ style=’border’ caption=’لینک کانال تلگرام’ link=’manually,http://t.me/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_font_icon icon=’ue909′ font=’entypo-fontello’ style=’border’ caption=’لینک اینستاگرام’ link=’manually,https://www.instagram.com/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_postslider link=’category,71,72,70,1,73′ wc_prod_visible=” prod_order_by=” prod_order=” columns=’5′ items=’-1′ offset=’0′ contents=’title’ preview_mode=’auto’ image_size=’portfolio’ autoplay=’yes’ interval=’5′]