جمعه ۱۰ فروردين ۱۴۰۳ , 29 Mar 2024
جالب است ۰
در شرایط همه‌گیری ویروس کرونا (کووید ۱۹)، برخی تبهکاران سایبری، بدافزارهایی را توسعه داده‌اند که سیستم‌های آلوده به آنها را با رونویسی بخش موسوم به Master Boot Record به اختصار MBR یا با از بین بردن فایل‌ها دچار اختلال می‌کنند.
منبع : مرکز مدیریت راهبردی افتا
در شرایط همه‌گیری ویروس کرونا (کووید ۱۹)، برخی تبهکاران سایبری، بدافزارهایی را توسعه داده‌اند که سیستم‌های آلوده به آنها را با رونویسی بخش موسوم به Master Boot Record – به اختصار MBR – یا با از بین بردن فایل‌ها دچار اختلال می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان از شناسایی حداقل پنج نسخه از این نوع بدافزارها خبر داده‌اند که تعدادی از آنها به‌صورت گسترده منتشر شده و برخی نیز احتمالاً با اهداف آزمایشی یا سرگرمی نوشته شده‌اند. در چهار مورد از این نمونه‌ها از الگوی مرتبط با موضوع اصلی این روزها یعنی ویروس کرونا بهره گرفته شده و ظاهراً بیشتر از آنکه اهداف مالی در آنها دنبال شده باشد، عملکردی خرابکارانه را از خود بروز می‌دهند.

دو مورد از چهار نمونه شناسایی شده توسط محققان امنیتی در هفته‌های اخیر با عملکرد پیشرفته اقدام به رونویسی سکتورهای MBR می‌کنند.

اعمال تغییرات در بخش MBR ساده نبوده و مستلزم داشتن دانش فنی است و هر گونه اشتباه، حتی کوچک ممکن است منجر به راه‌اندازی نشدن سیستم شود.

یکی از این بدافزارهای رونویسی‌کننده MBR با نام COVID-۱۹.exe در دو مرحله دستگاه را آلوده می‌کند. در فاز نخست، تنها یک پنجره آزاردهنده ظاهر می‌شود که به دلیل غیرفعال بودن Windows Task Manager کاربر در حالت عادی قادر به بستن آن نیست.
در حالی که کاربر با این پنجره سروکله می‌زند بدافزار بی سروصدا در پشت‌صحنه بخش MBR را رونویسی می‌کند. در ادامه دستگاه را راه‌اندازی مجدد کرده و در نتیجه MBR جدید، کاربر، دیگر با صفحه موسوم به Pre-boot همیشگی روبرو نمی‌شود. با این حال امکان دسترسی به سیستم با استفاده از برنامه‌های مخصوصی که برای بازگردانی و ساخت مجدد MBR طراحی شدهاند محتمل است.
دیگر بدافزار با الگوی ویروس کرونا که اقدام به رونویسی MBR می‌کند عملکردی متفاوت دارد.
در نگاه اول بدافزار مذکور یک باج‌افزار کرونایی به نظر می‌آید. اما قابلیت اصلی آن سرقت رمزهای عبور ذخیره شده از روی دستگاه آلوده است؛ به‌عبارت دیگر باج‌افزار جلوه دادن آن تنها برای فریب کاربر و مخفی کردن ذات جاسوسی این بدافزار است.

به‌محض پایان عملیات سرقت، بدافزار وارد مرحله‌ای می‌شود که در آن با رونویسی شدن MBR، کاربر، با پیام معمول حین راه‌اندازی مواجه نشده و عملاً دسترسی به سیستم مسدود می‌شود. در نتیجه بروز این اختلال تنها چیزی که به ذهن کاربر خطور نمی‌نکند سرقت شدن برخی داده‌های با اهمیت اوست.
در حالی که نسخه‌ای از این بدافزار شامل کدهایی برای از بین بردن فایل‌های بر روی سیستم کاربر است اما ظاهراً قابلیتی است که حداقل در آن نسخه فعال نشده است.

نسخه‌ای دیگر از این بدافزار نیز توسط محققان شناسایی شده که ضمن دارا بودن توانایی رونویسی MBR، قابلیت حذف فایل در آن با یک قفل‌کننده تصویر (Screen-locker) قابل اجرا جایگزین شده است.

محققان علاوه بر شناسایی این نمونه‌های رونویسی‌کننده MBR با الگوی کرونا دو نمونه از بدافزارهای موسوم به Data Wiper را نیز کشف کرده‌اند.

مورد اول که در ماه فوریه شناسایی شده از یک نام فایل چینی استفاده کرده و عمدتاً کاربران چینی را هدف قرار می‌داده‌است. مشخص نیست که آیا این بدافزار نمونه‌ای آزمایشی بوده یا برای توزیع واقعی طراحی شده‌است. مورد دوم نیز پس از آپلود شدن بر روی سایت VirusTotal توسط کاربری در ایتالیا به دست محققان رسیده‌است.

البته هر دوی این نمونه‌ها به دلیل استفاده از روش‌های ناکارآمد، پرخطا و زمانبر در فرایند حذف فایل‌ها از روی سیستم آلوده ضعیف توصیف شده‌اند. اما در هر صورت نتیجه اجرای آنها می‌تواند سیستم را با مشکلاتی جدی روبرو می‌کند.

این نخستین‌بار نیست که نویسندگان بدافزار چنین رویکردهای خرابکارانه‌ای را دنبال می‌کنند. برای بدافزارهای با اهداف مالی، همواره نمونه‌هایی جعلی و بعضاً سرگرم‌کننده نیز به چشم می‌خورد. مشابه آن را می‌توان در باج‌افزار WannaCry دید که در پی موفقیت در آلوده‌سازی ده‌ها میلیون دستگاه در کشورهای مختلف، برای مدت‌ها نسخی جعلی از آن در حال ظهور بودند.
کد مطلب : 16507
https://aftana.ir/vdciywaz.t1aqu2bcct.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی