محققان امنیتی میگویند باتنت Kelihos در حال تغییر روش خود به توزیع باجافزارها در رایانههای قربانیان بوده و درحالحاضر نیز خانواده بدافزار Troldesh را توزیع میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، باتنت Kelihos طی هشتسال گذشته دوام آورده و بارها تلاشهای محققان را برای نابودی با شکست مواجه کردهاست. دو مورد از این تلاشها در سپتامبر ۲۰۱۱ و مارس ۲۰۱۲ رخ دادند. در طول زمان، این باتنت توسط مهاجمان بسیاری در جهت اهداف خرابکارانه مختلف ازجمله پویشهای هرزنامه و توزیع باجافزارهایی ازجمله MarsJoke و Wildfire مورداستفاده قرار گرفتهاست.
در آگوست سال جاری، محققان امنیتی اعلام کردند مهاجمان در حال استفاده از این باتنت در کنار سایر باتنتها برای توزیع باجافزارها و تروجانهای بانکی هستند. پس از آن و در سپتامبر سال جاری این باتنت در حال توزیع تروجانهایی همچون Panda Zeus ،Nymain و Kronos مشاهده شد. در حال حاضر نیز متخصصان امنیتی میگویند این باتنت بار دیگر در جهت توزیع باجافزارها به کار گرفته شدهاست.
این بار Kelihos از طریق هرزنامههایی که حاوی پیوندی به یک پرونده جاوا اسکریپت و یک سند مایکروسافت ورد است، باجافزار Troldesh را توزیع میکند. به گفته آرش آرورا، تحلیلگر بدافزار و دانشجوی دکترای دانشگاه آلاباما در بیرمنگام، این نخستینباری است که باتنت مذکور از پروندههای جاوا اسکریپت برای آلوده کردن کاربران استفاده میکند.
بدافزار مذکور پروندههای کاربر را رمزنگاری کرده و پسوند no_more_ransom. را به آنها میافزاید. این پسوند جدید توسط مهاجمان کنایهای به پروژه NoMoreRansom محسوب میشود. این پروژه در اکتبر سال جاری، توسط آزمایشگاه کسپرسکی، بخش امنیتی اینتل و گروهی دیگر از مقامات ازجمله پلیس اروپا کلید خورد تا به قربانیان باجافزارها کمکهای عملی بدهد.
کارشناسان امنیتی میگویند که پویش توزیع Troldesh، آدرسهای ایمیلی را هدف قرار میدهد که با «au.» خاتمه مییابند. این بدان معناست که احتمالاً فقط کاربران استرالیایی این باجافزار را دریافت کردهاند. بهطور همزمان باتنت مذکور هرزنامههای دوستیابی برخط را برای آدرسهای ایمیل با پسوند «pl.» و هرزنامههای مالی را برای کاربران با آدرس ایمیل «us.» ارسال میکند. متخصصان امنیتی میگوید این باتنت همچنین هرزنامههایی را با مضمون دارویی برای کاربران کشورهای مختلف ارسال میکند.
پیامهای هرزنامه مرتبط با باجافزار Troldesh خود را در قالب Bank of America جا زده و کاربر را تشویق میکنند پیشنهاد مالی جعلی موجود در پرونده پیوست ایمیل را باز کند. بهمحض باز کردن پرونده پیوست، بدافزار Troldesh بر روی رایانه کاربر بارگیری میشود. پس از رمزنگاری پروندههای کاربر، یک یادداشت باجخواهی (به هر دو زبان روسی و انگلیسی) بر روی دسکتاپ ظاهر میشود. در این یادداشت آمدهاست که بهمنظور رمزگشایی پروندهها، قربانی باید با آدرس جیمیل نویسندگان باجافزار ارتباط گرفته و دستورات لازم را دریافت کند. در این یادداشت همچنین اطلاعاتی درباره نحوه بارگیری و استفاده از Tor آمدهاست.
متخصصان امنیتی میگویند Troldesh بدافزارهای دیگری را نیز بر روی سامانههای آلودهشده بارگیری کرد و با کارگزار دستور و کنترل خود در آدرس مشخصی ارتباط میگیرد. آنها میگویند باجافزار مذکور بدافزار سارق اطلاعات Pony را بر روی رایانه قربانی بارگیری میکند تا اطلاعات حساسی را نیز به سرقت ببرد. Kelihos بارها محققان را شگفتزده کرد و به اعتقاد کارشناسان امنیتی ردیابی فعالیت این باتنت ضروری است.