[av_textblock size=” font_color=” color=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”]
[/av_textblock]
[av_heading heading=’باج‌گیر افزار GandCrab و ویروس Ursnif از طریق ماکروهای MS Word پخش می‌شوند.’ tag=’h1′ style=’blockquote modern-quote modern-centered’ size=” subheading_active=” subheading_size=’15’ padding=’10’ color=’custom-color-heading’ custom_font=’#4ecac2′ av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
محققان امنیتی دو کمپین مخرب جداگانه را کشف کرده‌اند که یکی از آن‌ها تروجان سرقت داده‌های Ursnif و باج‌گیر افزار GandCrab را در سطح اینترنت پخش می‌کند، درحالی‌که کمپین دوم قربانیان را تنها با تروجان Ursnif آلوده می‌کند.
هرچند به نظر می‌رسد که هردوی این کمپین‌های بدافزاری توسط دو گروه سایبری مجزا اداره می‌شوند، اما شباهت‌های بسیاری در آن‌ها دیده شده است. هردوی حملات از طریق پست‌های الکترونیکی فیشینگ که حاوی یک سند MS Word هستند که ماکروهای موذی در آن‌ها جاسازی شده است گسترش می‌یابند و سپس از Powershell برای انتقال بدافزار بدون فایل استفاده می‌کنند.
Ursnif یک تروجان سرقت اطلاعات است که به‌طورمعمول اطلاعات حساس را از رایانه‌های آسیب‌دیده و در معرض خطر می‌دزدد. این تروجان قابلیت جمع‌آوری اطلاعات حساب‌های بانکی، فعالیت‌های انجام‌شده، جمع‌آوری keystroke ها، اطلاعات سیستم و پردازش، و پیاده‌سازی درهای پشتی اضافی را دارد.
MS Docs + ماکروهای VBS = آلودگی Ursnif و GandCrab
اولین کمپین بدافزاری، که دو نوع تهدید بدافزاری را گسترش می‌داد توسط محققان امنیتی در Carbon Black کشف شد که آن‌ها تقریباً ۱۸۰ نوع از اسناد MS Word را در سطح اینترنت کشف کردند که کاربران را با ماکروهای VBS موذی هدف قرار داده بودند.
این ماکروی VBS موذی اگر با موفقیت اجرا شود، یک اسکریپت PowerShell را اجرا می‌کند و سپس از یک سری تکنیک‌ها برای دانلود و اجرای Ursnif  و GandCrab روی سیستم‌های هدف استفاده می‌کند.
[/av_textblock]
[av_image src=’http://sgap.co/wp-content/uploads/2019/01/microsoft-office-docs-macros-malware-ransomware.png’ attachment=’3052′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’ admin_preview_bg=”][/av_image]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
اسکریپت PowerShell در base64 رمزگذاری شده است که مرحلۀ بعدی آلودگی را اجرا می‌کند و مسئولیت بارگیری payloadهای بدافزار اصلی را بر عهده دارد که می‌تواند سیستم را در معرض خطر قرار دهد.
اولین payload، یک PowerShell تک‌خطی است که معماری سیستم هدف را ارزیابی می‌کند و سپس مطابق آن یک payload اضافی را از وب‌سایت Pastebin دانلود می‌کند که در حافظه اجرا می‌شود و باعث می‌شود تکنیک‌های ضدویروس سنتی برای شناسایی فعالیت‌های آن دچار مشکل شوند.
محققان Carbon Black دراین‌باره گفتند: “این اسکریپت PowerShell یک نسخه از ماژول Empire Invoke-PSInject است که بسیار جزئی تغییر کرده است. این اسکریپت یک فایل PE جاسازی‌شده را می‌گیرد که بر پایه base64 رمزگذاری شده و آن را به فرآیند PowerShell تزریق می‌کند.”
پس‌ازآن، payload نهایی یک نوع از باج‌گیر افزار GandCrab را روی سیستم قربانی نصب می‌کند و فایل‌های آن‌ها را درون سیستم خودشان قفل می‌کند تا برای باز کردنشان آن‌ها مجبور به پرداخت ارز دیجیتالی شوند.
در ضمن، این بدافزار یک Ursnif قابل‌اجرا شدن را از یک سرور از راه دور دانلود می‌کند و هنگامی‌که اجرا شود، کلیدهای فشرده‌شده در سیستم را ذخیره کرده، ترافیک مرورگر وب را برای جمع‌آوری داده‌ها نظارت می‌کند و سپس این داده‌ها را به سرور فرمان و کنترل (C&C) مهاجم ارسال می‌کند.
محققان دراین‌باره گفتند: “بااین‌حال، تعداد زیادی از نسخه‌های گوناگون Ursnif بر روی سایت Bevendbrec [.] com  در طول این کمپین میزبانی می‌شدند. Carbon Black توانست حدود ۱۲۰ نوع مختلف از Ursnif را که در حوزه‌های Iscondist [.] com و Bevendbrec [.] com میزبانی می‌شدند، کشف کند.”
پرونده‌های مایکروسافت آفیس + ماکروهای VBS = دژافزار سرقت اطلاعات Ursnif
به‌طور مشابه، دومین بدافزار که توسط محققان امنیتی در Cisco Talos کشف شد از یک سند مایکروسافت ورد سوءاستفاده می‌کند که حاوی یک ماکروی VBA موذی است تا نوع دیگری از بدافزار Ursnif را انتقال دهد.
[/av_textblock]
[av_image src=’http://sgap.co/wp-content/uploads/2019/01/microsoft-office-docs-macros-malware.png’ attachment=’3053′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’ admin_preview_bg=”][/av_image]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
این حمله بدافزاری همچنین سیستم‌های مورد هدف را در چندین مرحله در معرض خطر قرار می‌دهد، از پست‌های الکترونیکی فیشینگ آغازشده و به اجرای دستورات PowerShell موذی برای به دست آوردن پایداری بدون فایل ختم می‌شود و درنهایت ویروس کامپیوتری سرقت اطلاعات Ursnif روی سیستم دانلود و نصب می‌شود.
“سه بخش مجزای فرمان [PowerShell] وجود دارد. قسمت اول یک تابع را ایجاد می‌کند که بعدها برای رمزگشایی PowerShell رمزگذاری شده با base64 استفاده می‌شود. قسمت دوم یک آرایه یک بایتی حاوی یک DLL موذی ر ایجاد می‌کند.”
“بخش سوم، تابع رمزگشایی base64 را که در قسمت اول ایجاد شده است، با یک رشته کدگذاری base64 به‌عنوان پارامتر تابع اجرا می‌کند. سپس PowerShell رمزگشایی‌شده و بازگشت داده‌شده توسط تابع کوتاه شده Invoke-Expression  اجرا می‌شود.”
هنگامی‌که بر روی کامپیوتر قربانی اجرا می‌شود، این بدافزار اطلاعات را از سیستم جمع‌آوری می‌کند، آن‌ها را در فرمت فایل CAB قرار می‌دهد، و سپس آن‌ها را به سرور فرمان و کنترل خود از طریق یک اتصال ایمن HTTPS ارسال می‌کند.
محققان Talos، لیستی از شاخص‌های در معرض خطر (IOCs)، همراه با اسامی فایل‌های payload قرار داده‌شده روی دستگاه‌های به خطر افتاده را در وبلاگ خود منتشر کردند که می‌تواند به شناسایی و جلوگیری از بدافزار Ursnif کمک کند.
[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
علیرضا خبیر
مشاور و مدرس تست نفوذ و امنیت شبکه‌های اداری و صنعتی
[/av_textblock]
[av_heading tag=’h1′ padding=’10’ heading=’لینک ها ‘ color=’custom-color-heading’ style=’blockquote modern-quote modern-centered’ custom_font=’#37ef34′ size=” subheading_active=” subheading_size=’15’ custom_class=” admin_preview_bg=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]

بخش آموزش های سایت

[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]

[/av_textblock]
[av_font_icon icon=’ue8b7′ font=’entypo-fontello’ style=’border’ caption=’لینک کانال تلگرام’ link=’manually,http://t.me/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_font_icon icon=’ue909′ font=’entypo-fontello’ style=’border’ caption=’لینک اینستاگرام’ link=’manually,https://www.instagram.com/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_postslider link=’category,71,72,70,1,73′ wc_prod_visible=” prod_order_by=” prod_order=” columns=’5′ items=’-1′ offset=’0′ contents=’title’ preview_mode=’auto’ image_size=’portfolio’ autoplay=’yes’ interval=’5′]