اخیرا در یک عملیات مخرب، قربانیان به صفحه آلوده به اکسپلویت کیت RIG منتقل شدهاند که باجافزار Buran را بهعنوان payload نهایی در سیستم قربانی نصب میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اکسپلویت کیت RIG در حال آلودهکردن رایانه قربانیان توسط یک باجافزار جدید با نام Buran است. باجافزار Buran نوعی از باجافزار Vega است که قبلا در یک عملیات انتشار آگهی مخرب توزیع شدهبود.
صفحه آلوده به اکسپلویت کیت RIG تلاش میکند تا از آسیبپذیریهای مرورگر اینترنت اکسپلورر بهرهبرداری کند. در صورت موفقیتآمیز بودن اکسپلویت، مجموعهای از دستورات اجرا میشوند که باجافزار را در نهایت به رایانه هدف انتقال میدهد و آن را اجرا میکند.
این باجافزار نوع دیگری از باجافزار Vega است که پیشتر توسط پژوهشگران ESET مشاهده شده است. فرایند رمزگذاری توسط باجافزار Buran در اکثر مراحل مشابه باجافزار Vega است.
اکسپلویت کیت RIG فایل اجرایی باجافزار را در سیستم قربانی منتقل و اجرا میکند. سپس باجافزار خود را در آدرس %APPDATA%\microsoft\windows\ctfmon.exe کپی میکند و از این آدرس اجرا میشود. پس از اجرای فایل باجافزار، فرایند رمزگذاری فایلهای قربانی آغاز میشود. در حین فرایند رمزگذاری، باجافزار کلیدهای رمزگذاری خصوصی و عمومی را در کلید رجیستری HKEY_CURRENT_USER\Software\Buran ذخیرهمیکند.
در صورت کشف راهکاری برای رمزگشایی فایلها توسط پژوهشگران، نگهداری این کلید رجیستری میتواند مفید باشد.