محققان امنیت سایبری روز چهارشنبه یک لودر بدافزار ساده اما بسیار قابل توجه را که باینریهای مخرب ویندوز که اهداف را در اروپای مرکزی، آمریکای شمالی و خاورمیانه هدف قرار میدهد، شناسایی و افشا کردند.
این بدافزار که توسط ESET با نام “Wslink” شناخته میشود، از این رو از بقیه متمایز است که به عنوان سرور اجرا میشود و ماژولهای دریافتی را در حافظه اجرا مینماید. هیچ جزئیات خاصی در مورد مسیر و روش اولیه به خطر انداختن اهداف وجود ندارد و از سویی نیز هیچ کد یا همپوشانی عملیاتیای وجود ندارد که این ابزار را به یک گروه عامل تهدید شناخته شده مرتبط کند.
این شرکت امنیت سایبری خاطرنشان کرد که در دو سال گذشته تنها تعداد انگشت شماری از این موارد شناسایی شده را مشاهده کرده، که این مسأله نشان میدهد که میتوان از آن در نفوذهای سایبری بسیار هدفمند استفاده نمود.
بدافزار Wslink برای اجرا به عنوان سرویس طراحی شده است و میتواند فایلهای رمزگذاری شده اجرایی پورتال (PE) را از یک آدرس IP خاص بپذیرد، که سپس رمزگشایی شده و قبل از اجرا در حافظه بارگذاری میشود. برای دستیابی به این هدف، مشتری (یعنی قربانی) و سرور به یکدیگر متصل شده یا اصطلاحا handshake انجام میدهند که حاوی تبادل کلیدهای رمزنگاری لازم برای رمزگذاری ماژولها با استفاده از AES است.
هنوز نظری ثبت نشده،نظر خود را ثبت کنید!