about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
مطالب پربازدید
نفوذ
1405/04/04 - 12:52- تروریسم سایبری

نفوذ رژیم صهیونیستی با استارلینک به ایران

نخست وزیر سابق رژیم صهیونیستی ادعا کرد که اسرائیل ده‌ها هزار سیستم استارلینک را به ایران قاچاق کرده است.

عدم
1405/04/18 - 09:33- تروریسم سایبری

عدم آمادگی رژیم صهیونیستی برای مقابله با حملات سایبری احتمالی ایران

کارشناسان معتقدند که رژیم صهیونیستی برای مقابله با احتمال حمله سایبری ایران در انتخابات از طریق رسانه‌های اجتماعی آمادگی ندارد.

بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

انتشار شده در تاریخ

بدافزار پایانه فروش «Multigrain»

به گزارش واحد امنیت سایبربان؛ محققان شرکت فایرآی بدافزاری را شناسایی کرده‌اند که اطلاعات کارت پرداخت را از سامانه‌های پایانه فروش سرقت کرده و از طریق DNS آن‌ها را برای مهاجمان ارسال می‌کند. آن‌ها بر این باور هستند که این تهدید که به نام «Multigrain» نام‌گذاری شده است، نوعی از NewPosThings یک خانواده بدافزاری است که دست‌کم از اکتبر سال ۲۰۱۳ فعال بوده است- باشد. 

به گفته فایرآی، مولتی گرین با اهداف سطح بالا و برای حمله به سامانه‌های اجراکننده‌ی فرایندهای خاص PoS (multi.exe) همراه با بسته نرم‌افزاری کارگزار (EDC) طراحی‌شده است. اگر فرایند multi.exe در دستگاه آلوده یافت نشود، این بدافزار خود را از بین می‌برد. 

به‌محض اینکه این بدافزار بر روی سامانه قربانی نصب شد، مولتی گرین، یک مقدار درهم‌سازی شده با استفاده از الگوریتم DJB2  بر اساس شماره سریال نام دستگاه و بخشی از آدرس MAC آن محاسبه می‌کند. این مقدار درهم‌سازی بانام رایانه و شماره نسخه باهم ترکیب‌شده و به‌وسیله الگوریتم Base32 خاصی رمزنگاری می‌شوند. آنگاه این داده‌ها توسط یک درخواست DNS از سوی دامنه داخلی  به سمت دامنه هدف ارسال می‌شود. سپس این بدافزار شروع به پویش حافظهی فرآیند موردنظر برای پیدا کردن داده‌های رکورد مسیر ۲ کارت پرداخت می‌کند که این مقدار با استفاده از الگوریتم Luhn تأیید می‌شود. 

فایرآی مولتی‌گرین را در خانواده بدافزاری NewPosThings دسته‌بندی کرده است زیرا این تهدیدات کدهایی مشابه دارند و داده‌های کارت‌ها را جمع‌آوری کرده و از الگوریتم درهم‌سازی DJB2 برای شناسایی میزبان آلوده استفاده می‌کنند. 

هرکدام از رکوردهای مسیر ۲ که از حافظه‌ی فرآیند مورد هدف جمع‌آوری‌شده، با کلید عمومی ۱۰۲۴ بیتی RSA  و با استفاده از الگوریتم مبتنی بر Base32  رمزنگاری‌شده و در بافر ذخیره می‌شود. این بدافزار این بافر را هر پنج دقیقه بررسی می‌کند و هر رکوردی را که در آن بیابد با استفاده از درخواست DNS به مهاجم ارسال می‌کند. 

مولتی گرین اولین بدافزار پایانه فروش نیست که از DNS برای ارسال داده‌ها استفاده می‌کند، همین شیوه به‌وسیله خانواده‌ بدافزارهای BernhardPOS  و FrameworkPOS نیز مورداستفاده قرارگرفته‌ است. 

محققان فایرآی در بلاگ پستی خود می‌گویند: «استفاده از DNS برای ارسال داده‌ها، چندین مزیت برای مهاجمان ایجاد می‌کند. محیط‌های حساس که داده‌های کارت‌ها را پردازش می‌کنند، اغلب حساس و محدود هستند و ترافیک FTP و HTTP آن‌ها اغلب کاملاً مسدود می‌شود. درحالی‌که این پروتکل‌های عمومی اینترنتی ممکن است در محیط‌های پردازش کارت سخت‌گیرانه غیرفعال شده باشند، DNS هنوز برای به دست آوردن آدرس مربوط به نام دامنه در درون محیط شرکت‌ها لازم است و بعید است که مسدود شده باشد.» 

نمونه بدافزار مولتیگرین که به‌وسیله شرکت فایرآی مورد تحلیل قرارگرفته است، به‌صورت دیجیتالی با یک گواهینامه صادرشده به‌وسیله کومودو برای «AMO-K Limited Liability Company» امضاءشده است. این گواهینامه در اکتبر سال ۲۰۱۵ لغو شده است. 

تازه ترین ها

محدودیت‌های شبانه استفاده از رسانه‌های اجتماعی برای نوجوانان

بریتانیا محدودیت‌های پیش‌فرض رسانه‌های اجتماعی را برای نوجوانان در طول شب در نظر گرفته است.

حمله
1405/04/24 - 15:37- جرم سایبری

حمله سایبری به غول مواد غذایی ژاپن

حمله سایبری به شرکت نیکیری، بزرگ‌ترین تأمین‌کننده مواد غذایی منجمد در ژاپن، نگرانی‌هایی را درباره اختلال در زنجیره تأمین مواد غذایی این کشور ایجاد کرده است.

سرقت
1405/04/24 - 15:28- جرم سایبری

سرقت سوابق پزشکی بیماران در حمله سایبری به شبکه درمانی استرالیا

شبکه درمانی پارتنرد هلث که ده‌ها مطب پزشکان عمومی و کلینیک‌های تخصصی سرطان پوست را در سراسر استرالیا اداره می‌کند، از وقوع یک حمله سایبری گسترده و سرقت اطلاعات پزشکی و شخصی بیماران خبر داد.