نصب ۱۲ میلیون درب پشتی توسط Tuto4PC

به گزارش واحد امنیت سایبربان؛ تیم تحقیقاتی Talos از سیسکو اظهار کرده است که ابزارهای چند شرکت ازجمله OneSoftPerDay و SystemHealer حاوی تروجان‌هایی هستند که محتوا و رفتار مخربی دارند.

Talos تخمین می‌زند که ۱۲ میلیون کاربر برای بارگیری یکی از برنامه‌های ابزارهای Tuto4PC فریب‌خورده‌اند. محققان می‌گویند به‌محض اینکه کاربران یکی از این برنامه‌ها را بارگیری و نصب کنند، نرم‌افزار همانند بدافزار عمل کرده و تروجانی به نام Wizz را نصب می‌کند.

محققان Talos در وبلاگی نوشتند: «هنگامی‌که Wizz با امتیاز ویژه‌ی مدیریتی و سرپرستی نصب شد، اطلاعات شخصی کاربر را بیرون می‌کشد و با پرونده‌ی قابل‌اجرا این اطلاعات به‌دست‌آمده را برای مرکز کنترل‌کننده‌ی خود ارسال می‌کند.»

نمایندگان شرکت Tuto۴Pc به درخواست خبرگزاری ThreatPost برای دادن پاسخی در این مورد جواب ندادند.

کریگ ویلیامز رهبر ارشد فنی در Talos گفت که طول نرم‌افزار Wizz در حال افزایش است و نرم‌افزارهای تحلیلی نمی‌توانند نوع عملکرد این نرم‌افزار را شناسایی کنند.

ویلیامز گفت: «بررسی‌های اولیه Talos از Wizz نگرانی‌ها را افزایش داده ‌است، زیرا وقتی محققان با استفاده از روش‌های جبه‌ی شنی رایانه کد Wizz را بررسی کردند فهمیدند که این برنامه فعلاً در حالت نهفته قرار دارد».

از دیگر رفتارهای سؤال‌برانگیز  Wizz می‌توان به تلاش برای پیدا کردن برنامه‌ی ضد بدافزار رایانه و دیگر برنامه‌های امنیتی همچون نرم‎افزارهای کشف شواهد مربوط به جرائم رایانه‌ای را نام برد. طبق گفته‌ی شرکت Talos، بیشترین نگرانی در خصوص این بدافزار، نصب بی‌سروصدای برنامه بر روی رایانه‌های شخصی بدون کسب اجازه از EulA ها است. 

تیم Talos در گزارش خود نوشت: «واضح و روشن است که این نرم‌افزار باید به‌عنوان یک درب پشتی طبقه‌بندی شود. دست‌کم این نرم‌افزار یک برنامه بالقوه‌ی ناخواسته (PUP) است. بحث جالبی که در اینجا وجود دارد این است که این بدافزار از تعریف معمول درب پشتی، قدم فراتر گذاشته است».

شرکت Tuto۴PC گذشته‌ی متغییر و شطرنجی دارد که می‌توان به اجرای بغرنج و پیچیده‌ با Conseil d’Elat، قانون‎گذاران دولت فرانسه اشاره کرد. Talos گفت این شرکت چندین‌بار در سال‌های ۲۰۱۲، ۲۰۱۳ و ۲۰۱۵ با مأموران فرانسوی روبرو شده است که شرکت را برای نصب نرم‌افزار ناشناخته‌ بر روی رایانه‌های شخصی کاربران تعلیق کرده‎اند.

وارن مرکر یکی از رهبران فنی در Talos گفت: «Tuto4Pc شرکتی است که درگذشته توسط مأموران فرانسوی برای نصب نرم‌افزارهای تبلیغاتی و جاسوسی بر روی رایانه‌ی کاربران، فراخوانده شده است؛ اما ظاهراً این شرکت از فراخوانده شدن توسط مقامات درس عبرت نگرفته و همچنان سعی دارد که تروجان‌هایش را از چشم جامعه امنیتی دورنگه دارد.»

مرکر گفت: «Tuto4PC و Wizz به‌عنوان واسطه‌ای برای اجرای بدافزارهای تبلیغاتی و جاسوس‌افزارها و Bloatware ها بر روی میلیون‌ها رایانه‌ی شخصی بدون اجازه کاربران، با همدیگر کار می‌کنند.»

محققان Talos اشاره‌کرده‌اند که توانستند با استراق سمع بر روی ارتباط بین بخش مدیریت دستور و کنترل به رابطه بین Tuto4PC و Wizz پی ببرند، زیرا Tuto4PC از متغیری‌های رمزنگاری برای اجرای SSL استفاده کرده است که از راهنمای رمزنگاری سایت مایکروسافت (MSDN) کپی شده است.

Talos در گزارش خود نوشت: «مورد جالبی که در اینجا وجود دارد این است که باوجود مدت‌زمان بسیاری که مسئولان این شرکت صرف روش‌های ضد جعبه شنی و ضد بررسی‌های امنیتی کرده است، هیچ تلاشی برای رمزنگاری نکرده است و فقط رمزگذاری را از راهنمای وبگاه MSDN کپی کرده است.»

محققان دریافتند که Tuto۴PC از ۵۵ دامنه برای عملیات جاسوسی و بدافزارهای تبلیغاتی استفاده کرده است که هرکدام متعلق به Tuto۴PC هستند یا متعلق به زیرمجموعه‌های آن. Talos گفت که این دامنه‌ها برای توزیع فایل دودویی Wiz.exe استفاده‌شده‌اند. Talos  همچنین گفت: «این دامنه‌ها نام‌های متفاوتی دارند ازجمله "PC Clean"، Free Gamer" و "Offer" که قانونی بودن همگی آن‌ها مورد سؤال است. واضح است که هدف این دامنه‌ها فریب کاربران برای کمک به دانلود تروجانشان است.»