بدافزار شناسی

خبر اختصاصی پادویش؛ بدافزار اندرویدی GameCo از نوعی حمله فیشینگ، برای سرقت اطلاعات حساس حساب‌های کاربری استفاده می‌کند. این بدافزار معمولا شامل اپلیکیشن‌هایی با نام‌های “PES 2019 EVOLUTION SOCCER” ، “خرید شارژ نصف قیمت” ،”ESET mobile security” و “بازی‌هایی با نام‌های مستهجن” می‌باشند که همگی دارای یک packagename یکسان به نام “ir.game.co” هستند. کاربران معمولا تبلیغات این برنامه‌ها را در کانال‌های تلگرامی و یا اینستاگرام مشاهده می‌کنند و در نتیجه با دانلود و نصب این برنامه‌ها آلوده می‌شوند. اغلب مهاجمان با ترغیب کاربران در جهت دستیابی به امکانات بیشتر در برنامه‌های نصب شده، از پرداخت‌های درون برنامه‌ای استفاده می‌کنند.

به طور مثال اپلیکیشن “PES 2019 EVOLUTION SOCCER” ادعا می‌کند که با پرداخت هزینه، به شما امکان مشاهده و استفاده از امکانات بازی را می‌دهد. اما در واقع صفحه پرداخت آن یک صفحه پرداخت جعلی بوده که اقدام به سرقت اطلاعات حساب بانکی کاربران می‌نماید. همچنین این برنامه دارای پکیج‌های تبلیغاتی برای نمایش تبلیغات در برنامه، نیز می‌باشد. بدافزارنویس، صفحات جعلی پرداخت را بر روی host های رایگان که عموما فیلتر هستند قرار داده است، در نتیجه برای اینکه بتواند صفحات جعلی پرداخت را برای کاربر باز کند، کاربر را ملزم می‌کند که برای دستیابی به امکانات برنامه از فیلترشکن استفاده کند.

منبع: امن پرداز

خبر اختصاصی پادویش؛ بدافزار ویندوزی Brontok از خانواده کرم‌ها می‌باشد و با هدف انجام حمله ddos و ایجاد وقفه در سرویس‌دهی سرورهای خاص، وارد سیستم می‌شود.

همزمان با اولین اجرا، بدافزار نسخه‌هایی از خود را در درایوها و پوشه‌های سیستم کپی کرده و برای حفظ بقا کلید رجیستری‌هایی ایجاد می‌کند. سپس با اجرای یکی از نسخه‌های کپی شده، تمامی task های سیستم را حذف کرده و تلاش می‌کند سرویس آنتی ویروس‌های مختلف را از کار بیاندازد. بدافزار قادر است از راه‌های متداول انتشار کرم‌ها مانند درایوهای قابل حمل، پوشه­‌های share شده سیستم و پنهان شدن در پیوست ایمیل­‌ها، به سیستم دیگر کاربران راه یابد.

منبع: امن پرداز

خبر اختصاصی پادویش; روت کیت DarkGalaxy که با هدف استخراج ارز دیجیتال وارد سیستم قربانی می‌شود، با دانلود و بهره گیری از ابزارهای مختلف فعالیت‌های مخربی بر روی سیستم و شبکه قربانی انجام می‌‌دهد. از جمله مهمترین فعالیت‌های این بدافزار می‌توان به دانلود نسخه‌های جدید و بروزرسانی فایل اصلی بدافزار، سرقت اطلاعات، استخراج ارز دیجیتال، تغییر DNS و اجرای بات نت Mirai بر روی شبکه قربانی اشاره نمود. بدافزار DarkGalaxy کدهای مخرب خود را در بخش MBR قرار می‌دهد و در نتیجه قبل از بوت شدن سیستم عامل، کدهای مخرب بدافزار اجرا می‌­شوند که به دنبال اجرای کدهای مخرب فایل­‌های مخرب دیگری نیز دانلود و اجرا خواهند شد، که هر یک مسئول اجرای یکی از اهداف بدافزار می‌­باشند.

این بدافزار جهت انتشار خود، از آسیب پذیری EternalBlue استفاده می­‌کند و با ایجاد یک درب پشتی بر روی سیستم قربانی عملیات مخرب خود را پیش می‌برد.

منبع: امن پرداز

خبر اختصاصی پادویش؛ بدافزار Oxypumper به ظاهر با هدف انجام تبلیغات بر روی سیستم قربانی ایجاد می­‌شود ولی محیطی را برای دانلود و اجرای سایر بدافزار‌ها ایجاد می‌کند. این بدافزار در واقع با دانلود فایل‌های دیگر علاوه بر کار تبلیغات، با از کار انداختن مکانیزم‌های امنیتی باعث آسیب رسانی به سیستم قربانی می‌شود.

در ابتدا بدافزار فایل‌های کمکی را از آدرس‌های مشخصی دانلود می‌کند که هرکدام از این فایل‌های دانلود شده مسئولیت انجام کاری را برعهده دارند. در نهایت با کمک همه فایل‌ها، مرورگر Opera را دانلود کرده و بر روی سیستم قربانی نصب می‌کند تا کار تبلیغاتی را از طریق مرورگر ذکرشده با باز کردن تب‌های متعدد انجام دهد.

منبع: امن پرداز

خبر اختصاصی پادویش؛ بدافزار boxter با هدف سرقت و ذخیره اطلاعات کاربران ویندوز 10، تلاش می‌کند تا کنترل از راه دور سیستم قربانی را در اختیار هکرها قرار دهد. به همین منظور، با انجام اقداماتی مانند ذخیره کلیدهای فشرده شده در صفحه کلید و همچنین اتصال به آدرس‌هایی مشخص برای دانلود، کنترل سیستم را در دست می‌گیرد.
این بدافزار که در دسته کرم‌ها طبقه‌بندی می‌شود، به دو روش معمول انتشار کرم‌ها شامل کپی شدن در پیوست ایمیل و دیگری از راه انتقال از درایوهای قابل حمل انتشار می‌یابد.
بلافاصله پس از اولین اجرای خودکار بدافزار، با ایجاد کلید رجیستری در مسیر زیر و غیر فعال کردن سرویس‌های امنیتی، به بقای خود ادامه می‌دهد.

منبع: امن پرداز