مطالب پربازدید

1403/08/29 - 07:56- هوش مصنوعي

هوش مصنوعی و دانش‌آموزان؛ تحولی که باید برای آن آماده شد

آموزش و پرورش، به خصوص مدارس به عنوان مهم‌ترین بستر تربیت نسل آینده، نقش کلیدی در آماده‌سازی دانش‌آموزان برای ورود به دنیای هوش مصنوعی دارد. اکنون هوش مصنوعی برای دانش‌آموزان یک انتخاب نیست، بلکه یک ضرورت است.

1403/09/24 - 08:40- آسیا

ساخت پیچیده‌ترین سلاح سایبری زیرساختی جهان توسط ایران

کارشناسان ادعا کردند که بدافزار مرتبط با ایران زیرساخت‌های حیاتی ایالات متحده و رژیم صهیونیستی را هدف قرار داده است.

1403/09/28 - 07:37- آسیا

راه‌اندازی اولین کامپیوتر کوانتومی ساخت رژیم صهیونیستی

رژیم صهیونیستی از راه‌اندازی اولین کامپیوتر کوانتومی ساخت خود با استفاده از فناوری پیشرفته ابررسانا خبر داد.

کامیار عزیزی

انتشار شده در تاریخ 1402/08/08 - 09:15

استفاده از بدافزار گوست پالس برای آلوده کردن رایانه های شخصی ویندوزی

یک کمپین حمله سایبری جدید با استفاده از فایل‌های بسته برنامه ویندوز جعلی ام اس آی اکس برای نرم‌افزارهای محبوبی مانند گوگل کروم، مایکروسافت اج، بریو، گرامرلی و سیسکو وبکس، برای توزیع یک بدافزار جدید با نام گوست پالس مشاهده شده است.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، جو دسیمون، محقق آزمایشگاه امنیتی الاستیک (Elastic Security Labs) در گزارشی فنی که هفته گذشته منتشر شد، گفت:

ام اس آی اکس (MSIX) یک قالب بسته برنامه ویندوزی است که توسعه دهندگان می توانند از آن برای بسته بندی، توزیع و نصب برنامه های خود برای کاربران ویندوز استفاده کنند. با این حال، ام اس آی اکس نیاز به دسترسی به گواهی‌های امضای کد خریداری‌شده یا دزدیده شده دارد و آن‌ها را برای گروه‌هایی از منابع بالاتر از میانگین قابل استفاده می کند.

بر اساس نصب‌کننده‌هایی که به‌عنوان فریب استفاده می‌شوند، گمان می‌رود که اهداف بالقوه از طریق تکنیک‌های شناخته‌شده مانند وب‌سایت‌های در معرض خطر، مسمومیت بهینه‌سازی موتور جستجو (SEO) یا تبلیغات نادرست، فریفته شوند تا بسته‌های ام اس آی اکس را دانلود کنند.

با راه‌اندازی فایل ام اس آی اکس، یک ویندوز باز می‌شود که از کاربران می‌خواهد روی دکمه نصب کلیک کنند، که این کار منجر به دانلود مخفیانه بدافزار گوست پالس (GHOSTPULSE) روی میزبان در معرض خطر از یک سرور راه دور ("manojsinghnegi[.]com) از طریق یک اسکریپت پاورشل (PowerShell) می‌شود.

این فرآیند در چندین مرحله انجام می شود، با اولین بار یک فایل بایگانی تار (TAR) حاوی یک فایل اجرایی که به عنوان سرویس باکس مجازی اوراکل (Oracle VM VirtualBox (VBoxSVC.exe)) ظاهر می شود، اما در واقع یک باینری قانونی است که با نوت پد ++ (Notepad++ (gup.exe)) همراه است.

همچنین در بایگانی تار، فایل handoff.wav و یک نسخه تروجانیزه شده از libcurl.dll وجود دارد که با سوء استفاده از این واقعیت که فایل gup.exe در برابر بارگذاری جانبی دی ال ال (DLL) آسیب پذیر است، برای انتقال فرآیند آلودگی به مرحله بعدی بارگذاری شده است.

دیسیمون گفت:

پاورشل VBoxSVC.exe، باینری را اجرا می کند که از دایرکتوری فعلی، دی ال ال مخرب libcurl.dll را بارگیری می کند. با به حداقل رساندن ردپای کدهای مخرب رمزگذاری شده روی دیسک، عامل تهدید می تواند از اسکن ویروس ها (AV) و یادگیری ماشینی (ML) مبتنی بر فایل، فرار کند.

فایل دی ال ال دستکاری شده، متعاقباً با تجزیه handoff.wav ادامه می‌یابد، که به نوبه خود، یک بسته رمزگذاری شده را بسته بندی می‌کند که از طریق mshtml.dll، روشی به نام استامپ زدن ماژول، رمزگشایی و اجرا می‌شود تا در نهایت بدافزار گوست پالس بارگذاری شود.

این بدافزار به عنوان یک لودر عمل می کند و از تکنیک دیگری به نام فرآیند داپل گنگینگ (doppelgänging) برای شروع اجرای بدافزار نهایی استفاده می کند که شامل سکتاپ رت (SectopRAT)، رادامانتیز (Rhadamanthys)، ویدار (Vidar)، لوما (Lumma) و نت ساپورت رت (NetSupport RAT) است.