به‌گفته پژوهشگران Avast تروجان NetWire توسط بدافزار WiryJMPer منتقل می‌شود و رایانه‌ها را آلوده می کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک منتقل‌کننده بدافزار جدید کشف شده‌است که رایانه‌ها را توسط یک payload مخرب با نام Netwire آلوده می‌کند. این payload در دو فایل اجرایی مخرب مخفی شده‌است و با استفاده از مبهم‌سازی، نرم‌افزارهای ضدبدافزار را دور می‌زند.

این منتقل‌کننده WiryJMPer نام دارد. payload منتقل‌شده NetWire است که با نام‌های Recam یا NetWireRC نیز شناخته‌می‌شود. NetWire یک تروجان با دسترسی از راه دور (RAT) است که از سال ۲۰۱۲ به‌طور گسترده مورد استفاده قرار گرفته و قابلیت‌های کنترل از راه دور را دارد. تمرکز این payload بر روی کلیدنگاری و سرقت گذرواژه است تا برای مهاجمان امکان دسترسی غیرمجاز و کنترل از راه دور رایانه‌های قربانیان را فراهم کند.

در ابتدا به نظر می‌رسد که WiryJMPer یک فایل اجرایی WinBin2Iso (برنامه‌ای برای تبدیل CD/DVD/Blu-ray به فایل‌های ISO) باشد، اما حجم آن بیش از سه‌برابر حالت عادی است. باینری دوم که بدافزار از آن برای پنهان شدن استفاده‌می‌کند، کیف پول الکترونیکی ABBC Coin، یک رمزارز مبتنی‌بر زنجیره بلوکی، است. نکته قابل توجه درباره این بدافزار، نحوه مبهم‌سازی غیرمعمول آن است. نوع مبهم‌سازی بدافزار باعث شده‌است تا شناسایی آن در VirusTotal با نرخ پایینی انجام شود و از ۶۶ مورد، فقط ۶ مورد آن شناسایی شده‌است. تلاش برای کسب پایداری این بدافزار در سیستم قربانی با کپی کردن فایل باینری اصلی در آدرس APPDATA%\abbcdriver.exe% و ایجاد میان‌بر آن در پوشه Startup انجام‌می‌شود.