محبوبیت خدمات گفتگوی رایگان VoIP به نام Discord بین بازیکنندگان آن را به هدفی برای پویشهای توزیع هرزنامه و انتشار RATها تبدیل کردهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به گفته متخصصان امنیتی خدمات گفتگوی رایگان VoIP به نام Discord که در میان بازیکنندگان بسیار محبوب است به هدفی برای پویشهای توزیع هرزنامه تبدیل شدهاست.
مهاجمان با استفاده از این خدمات اقدام به انتشار تروجانهای دسترسی از راه دور (RAT) همچون (NanoCore(Trojan.Nancrat) ،njRAT(Backdoor.Ratenjay و (SpyRat(w۳۲.Spyrat میکنند. متخصصان امنیتی Symantec میگویند چندین پویش فعال هرزنامه را بر روی خدمات مذکور کشف کرده و به Discord اطلاع دادهاند تا پیامها را حذف کند.
شاید برای بازیکنندگان دور از ذهن نبود که تولیدکنندگان هرزنامه، Discord را هدف بگیرند، چراکه خدمات مذکور با کیفیت بالایی امکان ارتباط بازیکنندگان را فراهم کرده و اخیراً بسیار محبوب شدهاست. هدفگیری انجمنهای بازی نیز از سوی نویسندگان بدافزار اتفاق جدیدی نیست. طبق گزارش اخیر منتشر شده از سوی Trend Micro، مجرمان سایبری در اغلب اوقات RATها را با این هدف پخش میکنند تا به حسابهای کاربری مرتبط با بازی دست بیابند، بدینترتیب میتوانند حساب مالی درون بازی را دستکاری کرده و مبالغی را در وب تاریک به فروش برسانند.
سیمانتک میگوید: تولیدکنندگان هرزنامه از دو رویکرد استفاده میکنند. آنها یا کارگزارهای Discord ایجاد میکنند و کاربران را به کانالهایشان دعوت میکنند یا به کانالها پیوسته و پیوندهای مخرب خود را در پنجره اصلی گفتگو نمایش میدهند. اغلب اوقات این URLها به برنامههای مخربی مربوط میشوند که در قالب RATها بستهبندی شدهاند. رایجترین بار داده NanoCore است. NanoCore پس از اینکه نسخه شکستهشده آن در بهار ۲۰۱۵ بهصورت برخط پخش شد به یکی از محبوبترین بار دادههای RAT تبدیل شدهاست.
در حقیقت NanoCore نهفقط در اتاقهای گفتگو Discord بلکه بهطورکلی یک RAT بسیار محبوب است. محقق امنیتی MalwareHunterTeam میگوید میتوان پویشهای این RAT را در هر زمان در مکانهای مختلف رویت کرد.
براد دونکان، محقق امنیتی، گزارشی را درباره یک پویش ایمیلی جدید منتشر کرد که با توزیع NanoCore تجارتهای مختلف را هدف قرار میدهد. این پویش بار داده بدافزار را بهعنوان یک سفارش خرید ظاهرسازی مخفی میکند.
متخصصان امنیتی بر این باورند که تروجان NanoCore یک ابزار قابلدسترس برای همه مجرمان سایبری است از افراد کنجکاو پخشکننده هرزنامه در گفتگوهای Discord گرفته تا مجرمان حرفهای که از باتنتهای هرزنامه استفاده میکنند.
برخی نمونههای NanoCore Rat را که محقق امنیتی MalwareHunterTeam اخیرا با آنها مواجه شدهاست در اینجا آوردهایم:
۲۰ اکتبر ۲۰۱۶:
https://t.co/tvGWIhsBMp
Campaign: "۹/۱۰"
C۲:ra۳d.noip[.]me@Techhelplistcom @JAMESWT_MHT @Antelox
۲۰ اکتبر ۲۰۱۶:
نمونهای از NanoCore که خود را بهجای فرایند Explorer جا میزند
servicepoint.duckdns[.]org@Techhelplistcom pic.twitter.com/۹GjUnrc۵W۶
۱۹ اکتبر ۲۰۱۶:
https://t.co/YalVuvg۲HX
C۲: ۱۵۴.۱۶.۶۳[.]۳۵:۴۴۴۴
Group: "AAA-۱۷-۱۰"@Techhelplistcom @JAMESWT_MHT @Antelox