محققان امنیت سایبری روز چهارشنبه یک لودر بدافزار ساده اما بسیار قابل توجه را که باینری‌های مخرب ویندوز که اهداف را در اروپای مرکزی، آمریکای شمالی و خاورمیانه هدف قرار می‌دهد، شناسایی و افشا کردند.

این بدافزار که توسط ESET با نام “Wslink” شناخته می‌شود، از این رو از بقیه متمایز است که به عنوان سرور اجرا می‌شود و ماژول‌های دریافتی را در حافظه اجرا می‌نماید. هیچ جزئیات خاصی در مورد مسیر و روش اولیه به خطر انداختن اهداف وجود ندارد و از سویی نیز هیچ کد یا همپوشانی عملیاتی‌ای وجود ندارد که این ابزار را به یک گروه عامل تهدید شناخته شده مرتبط کند.

این شرکت امنیت سایبری خاطرنشان کرد که در دو سال گذشته تنها تعداد انگشت شماری از این موارد شناسایی شده را مشاهده کرده، که این مسأله نشان می‌دهد که می‌توان از آن در نفوذ‌های سایبری بسیار هدفمند استفاده نمود.

بدافزار Wslink برای اجرا به عنوان سرویس طراحی شده است و می‌تواند فایل‌های رمزگذاری شده اجرایی پورتال (PE) را از یک آدرس IP خاص بپذیرد، که سپس رمزگشایی شده و قبل از اجرا در حافظه بارگذاری می‌شود. برای دستیابی به این هدف، مشتری (یعنی قربانی) و سرور به یکدیگر متصل شده یا اصطلاحا handshake انجام می‌دهند که حاوی تبادل کلید‌های رمزنگاری لازم برای رمزگذاری ماژول‌ها با استفاده از AES است.

پست های پیشنهاد شده

هنوز نظری ثبت نشده،نظر خود را ثبت کنید!


افزودن نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

2 − 2 =