میزبانی بار داده‌بدافزار بر روی PasteBin

محققان پرونده‌ای با نام VMWare.exe کشف کردند که در طول نصب به پورتال اشتراک‌گذاری متن PasteBin متصل شده و به یک صفحه دسترسی یافته و مقدار واردشده در آن را بارگیری می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نویسندگان بدافزار دائم در پی به کارگیری شیوه‌ جدیدی  برای توزیع بدافزار خود هستند. محققان امنیتی Malwarebytes با پویش بدافزاری جدیدی مواجه شدند که از شیوه‌ جالب و غیرمعمولی استفاده می‌کند. این محققان پرونده‌ای با نام VMWare.exe کشف کردند که در ظاهر نسخه‌ای سرقتی یا شکسته‌شده از برنامه‌ معروف مجازی‌سازی VMware است.

پیتر آرنز محقق امنیتی از Malwarebytes می‌گوید در طول نصب، این برنامه‌ مشکوک به پورتال اشتراک‌گذاریِ متن PasteBin متصل شده و به یک صفحه دسترسی یافته و مقدار واردشده در آن را بارگیری می‌کند. 

این محتوای موجود در صفحه‌ PasteBin که بارگیری می‌شود یک اسکریپت ویژوال بیسیک است که نصب‌کننده باید آن را بر روی رایانه‌ قربانی اجرا کند. این اسکریپت نیز به یک کارگزار برخط متصل شده و یک پرونده‌ اجرایی با نام Tempwinlogon.exe را بارگیری و اجرا می‌کند.

به گفته‌ این محقق این پرونده به احتمال زیاد تروجان دسترسی راه دور Bladabindi را که با نام‌های دیگری همچون Derusbi و njRAT شناخته می‌شود، نصب می‌کند. این RAT در هنگام اجرای پرونده‌ای با نام Tr.exe، کلیدهای فشرده‌شده توسط کاربر را با مؤلفه‌ کی‌لاگر ثبت می‌کند. 

آرتز می‌گوید اگر کاربری متوجه آلودگی رایانه خود به این RAT شود و بخواهد از طریق بخش مدیریت وظایف به فرایند مربوط به این بدافزار خاتمه دهد، رایانه فوراً درهم شکسته شده و صفحه‌ آبی مرگ (BSOD) به کاربر نمایش داده خواهدشد.

این رفتار مشابه رفتار بدافزار مبتنی‌بر جاوا اسکریپتی است که توسط بخش امنیتی Kahu کشف شد. زمانی‌که کاربر تلاش می‌کند به فرایند مربوط به این بدافزار خاتمه دهد، این بدافزار رایانه را خاموش کرده و به لطف سازوکار ماندگاری بوت که در مرحله‌ قبلی در این بدافزار تعبیه شده‌است خود را مجدد راه‌اندازی می‌کند. 

آرتز به کاربران هشدار داد و گفت: «اگر به این RAT آلوده شده‌اید، هرچه سریع‌تر گذرواژه‌های خود را تغییر دهید به‌خاطر اینکه ممکن است گذرواژه‌هایتان توسط این تهدید در معرض خطر قرار گرفته‌باشند.»