یافتههای فعلی نشان میدهد که توسعهدهندگان Necurs بهطور فعال در حال استفاده از ابزارهای جدیدی هستند تا از اقدامات امنیتی جلوگیری کنند.
منبع : مرکز مدیریت راهبردی افتا
یافتههای فعلی نشان میدهد که توسعهدهندگان Necurs بهطور فعال در حال استفاده از ابزارهای جدیدی هستند تا از اقدامات امنیتی جلوگیری کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آخرین گزارشها نشان میدهد که باتنت Necurs برای جلوگیری از شناسایی از میانبرهای اینترنتی یا URL استفاده میکند، اما بهنظر میرسد که نویسندگان آن مجددا بهروزرسانیهایی را انجام دادهاند.
یافتههای فعلی نشان میدهد که توسعهدهندگان Necurs بهطور فعال در حال استفاده از ابزارهای جدیدی هستند تا از اقدامات امنیتی جلوگیری کنند. اینبار در موج جدیدی از حملات ایمیلهای اسپم از این باتنت از فایلهای IQY برای جلوگیری از تشخیص استفاده شدهاست.
باتنت Necurs در حملات سایبری مختلفی طی سالها شرکت داشتهاست. در سال ۲۰۱۷ از این باتنت برای توزیع باجافزار Locky استفاده شدهاست. در استفاده فعلی از این باتنت از فایلهای IQY به عنوان بردار آلودهسازی استفاده شدهاست. فایلهای IQY فایلهای متنی هستند که دارای فرمت خاصی هستند. استفاده معمول از این فایلها وارد کردن اطلاعات منابع خارجی به فایلهای اکسل است. به صورت پیشفرض ویندوز فایلهای IQY را با نرمافزار اکسل باز میکند.
در موج جدید ایمیلهای اسپم، فایلهای IQY در پیوست مشاهده میشود. موضوع و فایل پیوست درباره تخفیفات فروشگاهی و تبلیغات است. زمانی که کاربر فایل IQY را اجرا کند، فایل با URL موجود در آن ارتباط برقرا میکند و دادههایی را دریافت میکند. بررسی بیشتر این دادهها نشان میدهد که اطلاعات دریافتی از ویژگی DDE اکسل سوءاستفاده میکند و باعث میشود که یک فرایند PowerShell آغاز شود.
اسکریپت PowerShell ، یک تروجان با دسترسی از راه دور (RAT) و پیلود نهایی یعنی یک در پشتی با نام FlawedAMMYY را دانلود میکند. در موج جدید، اسکریپت قبل از دانلود پیلود نهایی یک image را نیز دانلود میکند که دانلودکننده یک فایل مولفه رمزگذاری شدهاست.
در پشتی دانلود شده دستورات زیر را از سرور مخرب بصورت از راه دور اجرا میکند: • مدیریت فایل • مشاهده تصویر صفحه • کنترل از راه دور • گفتوگوی صوتی • نصب/شروع/توقف/حذف/غیرفعال سازی پس زمینه دسکتاپ • غیرفعالسازی desktop composition • غیرفعالسازی افکتهای بصری • نمایش tooltip نشانگر
کاربران باید نسبت به دانلود پیوستهای مشکوک با احتیاط عمل کنند. مایکروسافت درباره سوءاستفاده DDE آگاه است و به همین دلیل دو پیغام تایید قبل از اجرای فایل IQY برای کاربر باز میشود.