باج‌افزار چندمنظوره حملات DDoS

به گزارش واحد متخصصین سایبربان؛ محققان شرکت اینوینسیا هشدار داده‌اند که مجرمان سایبری از نوعی نرم‌افزار استفاده می‌کنند که به نظر می‌رسد از دستگاه‌های آلوده برای اهدافی مخرب همچون انجام حملات منع سرویس توزیع‌شده (DDoS) استفاده می‌کند. 

ایکنا دایک از شرکت اینوینسیا توضیح داده است که علاوه بر گروگان گرفتن داده‌های قربانی برای دریافت کردن باج، این نوع باج‌افزار، از سامانه قربانی به‌عنوان بخش بالقوه‌ای از حملات DDoS استفاده می‌کند. 

محققان موفق شدند که این باج‌افزار را به یک خانواده‌ی سایبری گره بزنند و کشف کنند که این بدافزار تغییراتی را در محافظ صفحه‌نمایش Screensaver پدید می‌آورد که به او اجازه می‌دهد تا یک یادداشت باج‌افزار دائمی را روی صفحه‌نمایش قربانی نشان دهند. علاوه بر این، این باج‌افزار رفتار عجیب‌وغریبی در شبکه از خود نشان می‌دهد که آدرس IP آن مابین محدوده‌های ۸۵.۹۳.۰.۰  تا ۸۵.۹۳.۶۳.۲۵۵  قرار دارد. 

عواملی که پشت این بدافزار هستند، از یک سند آلوده‌ی آفیس برای توزیع آن با یک روش حمله‌ی بدون پرونده استفاده می‌کنند. یک سند RTF در صندوق پستی قربانی قرار دارد و مهاجم تلاش می‌کند تا کاربر اجازه‌ی اجرای ماکروها را در نرم‌افزار مایکروسافت ورد برای دیدن محتوای آن بدهد. به‌محض اجرای آن، این ماکروها به یک سطح فرمان بالاتر در سامانه قربانی پرش می‌کنند و یک Vbscript رمزنگاری‌شده را اجرا می‌کنند. 

به گفته پژوهشگر ایوینسیا، این کد بدافزار برای جلوگیری از تجزیه‌وتحلیل به‌صورت مبهم نوشته‌شده، ‌اما توابع و متغیرهای نوشته‌شده در آن، توسط رایانه تولیدشده‌اند. تکه کدهایی از آن را هم می‌توان یافت که توسط انسان تولیدشده‌اند، اما محققان عقیده دارند که متغیرها، اعداد صحیح و توضیحات در کدها درواقع طوری اضافه‌شده‌اند که تجزیه‌وتحلیل را مشکل کنند. 

همچنین دایک کشف کرده است که برخی از این عملکردها در کدها به پرونده‎های متنی اشاره داد، ‌درحالی‌که درنهایت، این کدها به یک صورت یک پرونده vbs. صادرشده و سپس اجرا می‌شوند. بعدازاینکه این اسکریپت (که به نام ۳۲۶۳.vbs در این حمله نام‌گذاری شده است)  ایجاد و اجرا شد، یک پرونده باینری آلوده‌ی دیگر به نام ۳۳۱۱.tmp ایجاد می‌کند که عقیده بر این است که یک باج‌افزار Cerber است. 

علاوه بر انجام تغییرات در محافظ صفحه‌نمایش برای نشان دادن یادداشت باج‌افزار و فراخوانی زیر شبکه بسیار بزرگ ۲۵۵.۲۵۵.۱۹۲.۰، این باج‌افزار یک فایل tmp هگزادسیمال ایجاد می‌کند که متعاقباً یک‌روال explorer.exe را اجرا می‌کند. علاوه بر این، این روال، مجموعه‌هایی از پرونده‎های tmp ایجاد می‌کند و آن‎ها را روی دیسک می‌نویسد که ظاهراً این رشته حوادث به یک حلقه در VBScript مربوط می‌شوند. 

به گفته‌ی این پژوهشگر، هنوز این احتمال وجود دارد که این نوع بدافزار مورد تجزیه‌وتحلیل قرارگرفته، به‌طور کامل فرایند انتقال بار داده‎ی مخرب خود را روی دستگاه قربانی تکمیل نکند. اگر این موضوع محتمل باشد، این کار به این معنا خواهد بود که علاوه بر فعالیت‌های مخرب مشاهده‌شده، ممکن است این بدافزار، فعالیت‌های مخرب دیگری را نیز برای اجرا روی دستگاه قربانی در نظر داشته باشد. 

این محقق نتیجه‌گیری می‌کند: «به نظر می‌رسد که ترافیک مشاهده‌شده، زیر شبکه را با بسته‌های UDP روی درگاه ۶۸۹۲ بمباران می‌کند. با جعل آدرس مبدأ، میزبان می‌تواند همه‌ی ترافیک برگشت داده‌شده از زیر شبکه را به یک میزبان هدف تغییر مسیر دهد و موجب شود که میزبان قادر به پاسخگویی نباشد». 

اوایل این هفته، مایکروسافت از بهبودهایی در بدافزار ماکرو خبر داد که اکنون مهارت‌هایی اضافی را به خود افزوده است و می‌تواند به شکل بهتری کدهای مخرب خود را پنهان کنند. بدافزار ماکرو که در دهه‌ی ۱۹۹۰ بسیار معمول بود، سال گذشته دوباره بازگشته است. اوایل این سال، Dridex و Locky دو خانواده از بدافزارهایی که از اسناد مخرب استفاده می‌کنند، شروع به مخفی کردن کدهای مخرب خودکرده‌اند.