هدف قرار دادن محققین امنیت سایبری با استفاده از اپلیکیشن آلوده dnSpy

به گزارش کارگروه امنیت سایبربان؛ هکرها این هفته در یک کمپین بدافزاری پیچیده، محققین و توسعه دهندگان امنیت سایبری را مورد هدف قرار داده اند. مهاجمین در این کمپین با هدف نصب سرقت کننده های ارز دیجیتال، تروجان های دسترسی راه دور و استخراج کننده ها، اقدام به انتشار نسخه آلوده و مخرب اپلیکیشن dnSpy .NET می کنند. 

dnSpy یک دیباگر (برطرف کننده عیب و اشکال) محبوب و ویرایشگر اسمبلی دات نت است که برای دیباگ، اصلاح و دی کامپایل کردن (فرازش) برنامه های دات نت مورد استفاده قرار می گیرد. محققین امنیت سایبری معمولا برای تحلیل بدافزار و نرم افزار دات نت از این برنامه استفاده می کنند. 

اگر چه این نرم افزار دیگر به صورت فعال توسط توسعه دهندگان اولیه آن توسعه نمی یابد اما کد منبع اصلی و نسخه جدید آن بر روی گیت هاب قابل دسترسی می باشد و هر کسی می تواند آن را دستخوش تغییر کند. 

این هفته یک بازیگر مخرب مرکز ذخیره سازی گیت هابی را همراه با نسخه فشرده dnSpy ایجاد کرد که بدافزارهایی شامل هایجک کننده های کلیپ بورد، ماینر، تروجان دسترسی راه دور Quasar و پی لودهای ناشناخته را نصب می کند.

این کمپین توسط محققین امنیتی 0day enthusiast و  MalwareHunterTeamشناسایی شد. 

این برنامه درصورت اجرا می تواند فعالیت های زیر را انجام دهد:

• غیر فعال سازی Microsoft Defender
• استفاده از bitsadmin.exe برای دانلود curl.exe 
• استفاده از curl.exe و bitsadmin.exe برای دانلود پی لودهای مختلف در پوشه C:\Trash و راه اندازی آن ها
• غیر فعال سازی کنترل حساب کاربری

در حال حاضر  dnSpy[.]net و مرکز ذخیره سازی گیت هاب هر دو غیر فعال هستند.  

حمله به محققین و توسعه دهندگان امنیت سایبری موضوع جدیدی نیست و به طور فزاینده ای در حال رشد است. مهاجمین با هدف قرار دادن آن ها  سعی بر سرقت آسیب پذیری های افشا نشده و کد منبع و همچنین دسترسی به شبکه های حساس دارند.