محققان جدیدترین عملیات مخرب توسط بدافزار Ursnif را شناسایی کردهاند.
منبع : مرکز مدیریت راهبردی افتا
محققان جدیدترین عملیات مخرب توسط بدافزار Ursnif را شناسایی کردهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Yoroi-Cybaze ZLAB ویرایش جدیدی از بدافزار شناختهشده Ursnif را کشف کردند که از طریق ایمیلهای اسپم منتقل شدهاست.
در ایمیلها از پیوستهایی استفاده شدهاست که محتوای آنها یک فایل جاوااسکریپت است. این فایل پس از اجرا مولفههای مخرب دیگری را دریافت و سیستم قربانی را آلوده میکند. فایل جاوااسکریپت در ابتدا شروع به ایجاد ترافیک زیادی میکند تا شناسایی زیرساخت مخرب را دشوار کند. این کار از طریق ایجاد مجموعهای از URLهای تصادفی و اتصال ناموفق به آنها انجام میشود که منجر به تولید حجم ترافیک بالا در محیطهای تحلیل میشود.
بدافزار در مرحله دوم فرایندهای مخرب خود از فایل ppc.cab استفاده میکند که این فایل در مرحله اول در مسیر %APPDATA%\Roaming قرار داده شده است. درون این فایل یک فایل اجرایی با نام puk.exe وجود دارد. این فایل از فرایندهای پردازشی مرورگر اینترنت اکسپلورر استفاده میکند تا فعالیت شبکه خود را مخفی کند.
بدافزار در مرحله سوم فعالیتهایی را انجام میدهد تا پایداری خود را در سیستم حفظ کند و برای مدت بیشتری در سیستم قربانی بماند. این کار با تعیین کلیدهای رجیستری انجام میشود.