ترندمیکرو بدافزار جدیدی از خانواده Moldova را با عنوان JS_DLOADR و W۲KM_DLOADR شناسایی کرد.
منبع : مرکز مدیریت راهبردی افتا ریاست جمهوری
ترندمیکرو بدافزار جدیدی از خانواده Moldova را با عنوان JS_DLOADR و W۲KM_DLOADR شناسایی کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بر اساس بررسیهای صورت گرفته بر روی virus total، بدافزار جدیدی از خانواده Moldova مشاهده شدهاست. ترندمیکرو این بدافزار را با نام JS_DLOADR و W۲KM_DLOADR شناسایی میکند.
نکته قابل توجه در مورد این فایل مخرب، وجود دو دانلود کننده (TROJ SPY VIT.A و JAVA_ SPY VIT.A) در بدنه آن است که یک نسخه از ابزار دسترسی از راه دور را برای مهاجم فراهم میکنند. همچنین این بدافزار یک افزونه مخرب ارائه میکند که نوعی Backdoor محسوب میشود و میتواند اطلاعات وارد شده در مرورگرها را سرقت کند.
بر اساس گزارش منتشر شده، بدافزار مرورگرهای Google Chrome و Edge Microsoft Explore را مود هدف قرار میدهد. هنگامی که بدافزار تشخیص میدهد که مرورگر Chrome یا Edge باز است، مرورگر اصلی را میبندد و یک نسخه آلوده به افزونه بدافزار را باز میکند.
افزونه مخرب به عنوان یک در پشتی عمل میکند. به بیانی دیگر، هرگاه یک قربانی یک صفحه وب را باز کند، افزونه مخرب، URL وبسایت و اطلاعات ارجاع HTTP را به سرور C&C ارسال خواهدکرد. افزونه مخرب همچنین میتواند کلیک کردن بر روی دکمهها، انتخاب اقلام از لیست کشویی و تایپ کردن هر مقدار در داخل فرم در صفحه وب را شنود و ثبت نماید و این اطلاعات را برای سرورهای C&C ارسال کند.
مهاجمان از طریق ایمیلهای اسپم و حاوی اسناد دارای ماکرو مخرب اقدام به انتشار بدافزار مذکور میکنند. همچنین اسامی اسناد مخرب که از بررسی DLOADR به دست آمدهاست نشان میدهد که مهاجمان از روشهای مهندسی اجتماعی نیز به خوبی استفاده کردهاند. برخی از اسامی این اسناد در جدول زیر بیان شدهاست: با توجه به اینکه این بدافزار از طریق ایمیلهای اسپم منتشر میشود به کاربران توصیه میشود که از غیر مخرب بودن فایلهای دریافتی پیش از دانلود و باز کردن آنها اطمینان حاصل کنند.