تروجان Adwind در جدیدترین بهروزررسانی، رفتار مخرب خود را با استفاده از دستورات مجاز جاوا پنهان میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مجرمان سایبری، گونهای از تروجان را که بیش از پنجسال برای سرقت اطلاعات احراز هویت و سایر اطلاعات مربوط به قربانیان استفاده میکردند، اخیرا بهروز کردند، بهطوریکه با استفاده از دستورات مجاز جاوا، رفتار مخرب خود را پنهان میکند.
این تروجان Adwind نام دارد که با اسامی AlienSpy و jRAT نیز شناختهمیشود. Adwind نخستینبار در سال ۲۰۱۳ مشاهده شد که بهصورت یک بدافزار بهعنوان سرویس (as-a-service) در اختیار مجرمان سایبری قرار گرفت تا از قابلیتهای آن برای سرقت اطلاعات احراز هویت، ثبت رخدادهای صفحه کلید، ضبط صدا و غیره علیه قربانیان استفاده کنند.
این بدافزار میتواند چندین سیستم عامل را هدف قرار دهد و بهطور معمول قربانیان را از طریق ایمیلهای فیشینگ، فایل نصبی مخرب نرمافزارها یا وبسایتهای مخرب، آلوده میکند.
نوع جدیدی از این بدافزار اخیرا شناسایی شدهاست که به نظر میرسد سیستم عامل ويندوز و برنامههای متداول ويندوز ازجمله Internet Explorer و Outlook را همراه با مرورگرهای مبتنیبر Chromium مورد هدف قرار میدهد.
جدیدترین نوع Adwind توسط یک فایل JAR منتقل میشود و هدف آن در پشت چندین لایه مبهمسازی و رمزگذاری شده قرار دارد که باعث ناکارآمدی تشخیص مبتنیبر امضا میشود.
هنگامی که بدافزار لیست آدرسهای سرور فرمان و کنترل را باز کند، Adwind فعال شده و قادر به دریافت دستورالعملها و ارسال اطلاعات سرقت شده ازجمله اطلاعات احراز هویت بانکی، برنامههای تجاری و هرگونه گذرواژه ذخیرهشده در یک مرورگر به سرور میزبان است.
در آخرین نسخه Adwind، عملکرد بدافزار با استفاده از دستورات جاوا مخفی میشود. توسعهدهندگان بدافزار این کار را با مخفی کردن فایلهای JAR مخرب در بین تعدادی از برنامه JAR مشروع انجام دادند و با استفاده از رمزگذاری، تشخیص فایل JAR اولیه و بارگذاری فایلهای JAR اضافی از یک سرور از راه دور را دشوار کردند. تمامی این موارد تشخیص فعالیت غیرطبیعی را دشوار میکنند.
فعالیت مخرب Adwind زمانی قابل شناسایی است که اطلاعات به سرقت رفته در حال ارسال به سرور از راه دور هستند. بدافزار در طی این فرایند از دستوراتی غیر از جاوا استفاده میکند. با این حال، در این مرحله آسیب موردنظر بدافزار به پایان رسیدهاست.
بررسی ترافیک وب و ایمیل از راهکارهایی است که میتواند برای شناسایی چنین بدافزارهایی بهکار رود.
دریافت صفحه با کد QR