پنهان‌سازی رفتار مخرب Adwind با کمک جاوا
کد مطلب: 15960
تاریخ انتشار : يکشنبه ۱۲ آبان ۱۳۹۸ ساعت ۱۶:۵۸
 
تروجان Adwind در جدیدترین به‌روزررسانی، رفتار مخرب خود را با استفاده از دستورات مجاز جاوا پنهان می‌کند.
پنهان‌سازی رفتار مخرب Adwind با کمک جاوا
 
 
Share/Save/Bookmark
تروجان Adwind در جدیدترین به‌روزررسانی، رفتار مخرب خود را با استفاده از دستورات مجاز جاوا پنهان می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مجرمان سایبری، گونه‌ای از تروجان را که بیش از پنج‌سال برای سرقت اطلاعات احراز هویت و سایر اطلاعات مربوط به قربانیان استفاده می‌کردند، اخیرا به‌روز کردند، به‌طوری‌که با استفاده از دستورات مجاز جاوا، رفتار مخرب خود را پنهان می‌کند.

این تروجان Adwind نام دارد که با اسامی AlienSpy و jRAT نیز شناخته‌می‌شود. Adwind نخستین‌بار در سال ۲۰۱۳ مشاهده شد که به‌صورت یک بدافزار به‌عنوان سرویس (as-a-service) در اختیار مجرمان سایبری قرار گرفت تا از قابلیت‌های آن برای سرقت اطلاعات احراز هویت، ثبت رخدادهای صفحه کلید، ضبط صدا و غیره علیه قربانیان استفاده کنند.

این بدافزار می‌تواند چندین سیستم عامل را هدف قرار دهد و به‌طور معمول قربانیان را از طریق ایمیل‌های فیشینگ، فایل نصبی مخرب نرم‌افزارها یا وب‌سایت‌های مخرب، آلوده می‌کند.

نوع جدیدی از این بدافزار اخیرا شناسایی شده‌است که به نظر می‌رسد سیستم عامل ويندوز و برنامه‌های متداول ويندوز ازجمله Internet Explorer و Outlook را همراه با مرورگرهای مبتنی‌بر Chromium مورد هدف قرار می‌دهد.

جدیدترین نوع Adwind توسط یک فایل JAR منتقل می‌شود و هدف آن در پشت چندین لایه مبهم‌سازی و رمزگذاری شده قرار دارد که باعث ناکارآمدی تشخیص مبتنی‌بر امضا می‌شود.

هنگامی که بدافزار لیست آدرس‌های سرور فرمان و کنترل را باز کند، Adwind فعال شده و قادر به دریافت دستورالعمل‌ها و ارسال اطلاعات سرقت شده ازجمله اطلاعات احراز هویت بانکی، برنامه‌های تجاری و هرگونه گذرواژه ذخیره‌شده در یک مرورگر به سرور میزبان است.

در آخرین نسخه Adwind، عملکرد بدافزار با استفاده از دستورات جاوا مخفی می‌شود. توسعه‌دهندگان بدافزار این کار را با مخفی کردن فایل‌های JAR مخرب در بین تعدادی از برنامه JAR مشروع انجام دادند و با استفاده از رمزگذاری، تشخیص فایل JAR اولیه و بارگذاری فایل‌های JAR اضافی از یک سرور از راه دور را دشوار کردند. تمامی این موارد تشخیص فعالیت غیرطبیعی را دشوار می‌کنند.

فعالیت مخرب Adwind زمانی قابل شناسایی است که اطلاعات به سرقت رفته در حال ارسال به سرور از راه دور هستند. بدافزار در طی این فرایند از دستوراتی غیر از جاوا استفاده می‌کند. با این حال، در این مرحله آسیب موردنظر بدافزار به پایان رسیده‌است.

بررسی ترافیک وب و ایمیل از راهکارهایی است که می‌تواند برای شناسایی چنین بدافزارهایی به‌کار رود.
مرجع : مرکز مدیریت راهبردی افتا