دانشمندان امنیتی بدافزارهایی را شناسایی کردند که برای دور زدن آنتی‌ویروس از روش‌های مبهم‌سازی بهره می‌گیرند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران امنیتی نمونه جدیدی از نرم‌افزارهای مخرب را کشف کرده‌اند که با استفاده از تکنیک‌های مختلف مبهم‌سازی امضای عمومی، محصول نهایی را برای جلوگیری از شناسایی توسط ضدویروس تغییر می‌دهند. از آنجایی که بسیاری از محصولات ضدویروس مبتنی‌بر تشخیص امضا هستند، روش‌های مبهم‌سازی ازجمله Pack کردن و رمز کردن بدافزار برای فرار از شناسایی توسط ضدویروس‌ها به‌طور گسترده مورد استفاده بدافزار‌نویسان قرار می‌گیرد.

فایل بدافزار از طریق آرشیو ZIP که حاوی یک اسکریپت VB و یک PDF Document است، توزیع می‌شود. اسکریپت VB که قرار است با استفاده از PowerShell اجرا شود از تکنیک مبهم‌سازی استفاده می‌کند تا توسط ضدویروس‌ها شناسایی نشود. اسکریپت VB در ادامه فایل اسکریپتی 1cr.dat را از آدرس "hxxps: // ravigel [dot] com/۱cr [dot] dat" از طریق PowerShell Script دانلود می‌کند.

فایل 1cr.dat با استفاده از روش رمزنگاری رشته در C# به نام SecureString که معمولا برای رمزگذاری رشته‌های حساس در برنامه‌ها که با استفاده از DPAPI ساخته شده‌اند کاربرد دارد، رمزگذاری شده‌است. سپس فایل PE دیگری با نام "top.tab" با استفاده از اسکریپت موجود دانلود می‌شود و کد مخرب نهایی به دستگاه قربانی تزریق می‌شود.

در صورتی که بدافزار بر روی سیستم قرار گرفته‌باشد با استفاده از یک دیوار آتش وب می‌توان لحظه ارتباط بدافزار با مهاجم را متوجه شد و نسبت به پاک‌سازی بدافزار اقدام کرد، بنابراین توصیه می‌شود برای اطلاع از وجود بدافزار و جلوگیری از فعالیت و پاک‌سازی آن از یک دیوار آتش وب (WAF) مطمئن و ایمن استفاده‌شود.

IOC:
59e۷fe23731ad94f1714c1a8acfce3f8b6e6e918b3e3aa3daa7275cb6052e68c