یک ابزار هک چندمنظوره جدید به نام L0rdix برای فروش در وب تاریک قرار گرفته است.
منبع : مرکز مدیریت راهبردی افتا
یک ابزار هک چندمنظوره جدید به نام L0rdix برای فروش در وب تاریک قرار گرفته است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تیم امنیتی Ensilo ابزار هک جدیدی با نام L0rdix را در فرومهای گفتوگوی زیرزمینی و وبتاریک مشاهده کردهاست که برای فروش گذاشته شدهاست.
ابزار هک L0rdix به منظور هدف قرار دادن سیستمهای ویندوزی طراحی شده است و دارای قابلیتهای سرقت و کاوش ارز دیجیتالی است. این ابزار میتواند نرمافزارهای تحلیل بدافزار را دور بزند. بررسیهای پژوهشگران Ensilo نشان میدهند که این ابزار همچنان در حال توسعه است و احتمالا نسخههای پیچیدهتری از آن منتشر خواهد شد.
L0rdix با .NET نوشته شدهاست و با ابزار مبهمسازی استاندارد ConfuserEx مبهمسازی شدهاست. برخی از نمونههای مشاهدهشده با ابزار پیشرفتهتر .NETGuard بستهبندی و مبهمسازی شدهاند. L0rdix از فرایند خاصی برای شناسایی محیطهای مجازی و سندباکسها استفاده میکند. این ابزار علاوهبر انجام برخی اسکنهای استاندارد برای شناسایی این محیطها از دستورات WMI و کلیدهای رجیستری نیز استفاده میکند تا رشتههایی را شناسایی کند که نشاندهنده محصولات سندباکس هستند.
ابزار مخرب L0rdix به منظور فروش به مهاجمان سایبری ایجاد شدهاست. این ابزار پنج ماژول اصلی دارد که دارای قابلیت بهروزرسانی خودکار هستند. همچنین L0rdix دارای ساختاری است که اجازه میدهد ماژولهای دیگر در آینده بهراحتی به آن متصل شوند.
هنگامی که یک سیستم توسط L0rdix آلودهمیشود، بدافزار اطلاعاتی را ازجمله نسخه سیستمعامل، شناسه دستگاه، مدل پردازنده، محصولات ضدویروس نصبشده و سطح دسترسیهای فعلی کاربر را جمعآوری میکند. سپس این اطلاعات رمزگذاری میشوند و همراه با یک تصویر از صفحه سیستم به سرور فرمان و کنترل (C&C) ارسال میشوند. در ادامه فایلها و تنظیمات پیکربندی بدافزار بر اساس این اطلاعات بهروز میشوند و در این مرحله L0rdix تصمیم میگیرد که ارز دیجیتالی استخراج کند و یا اطلاعات سیستم را به سرقت ببرد.
برای پایداری در سیستمها، بدافزار خود را در قسمتهای مختلفی از جمله بخش فعالیتهای زمانبندی شده ویندوز کپی میکند. علاوه بر این، L0rdix میتواند سیستم آلوده را به باتنت اضافه کند و فعالیتهایی ازجمله انجام حملات DDoS، متوقف کردن فرایندهای پردازشی خاص، بارگذاری و اجرای بدنههای نهایی و اجرای دستورات cmd را پیادهسازی کند.
بدافزار میتواند بر کلیپبورد سیستم نظارت کند و اطلاعات مربوط به کیف پول ارزهای دیجیتالی را به سرقت ببرد. همچنین، سرقت اطلاعات احرازهویت و کوکیهای مرورگرها نیز بخش دیگری از فعالیتهای مخرب این بدافزار است.
پژوهشگران Ensilo انتظار دارند که در آینده نسخههای پیشرفتهتری از L0rdix را مشاهده کنند.
نشانههای آلودگی (IoC): پیشوند دامنههایی که بدافزار با آنها ارتباط برقرار میکند:
comcast.net
test.net
جزییات فرایندهای پردازشی که بدافزار منتقل میکند:
ProgramData\syscall.exe\ Microsoft\Network\srcc.exe\ Microsoft\Windows\audiohq.exe\ Windows Component\defender.exe\