در شرایط همهگیری ویروس کرونا (کووید ۱۹)، برخی تبهکاران سایبری، بدافزارهایی را توسعه دادهاند که سیستمهای آلوده به آنها را با رونویسی بخش موسوم به Master Boot Record به اختصار MBR یا با از بین بردن فایلها دچار اختلال میکنند.
منبع : مرکز مدیریت راهبردی افتا
در شرایط همهگیری ویروس کرونا (کووید ۱۹)، برخی تبهکاران سایبری، بدافزارهایی را توسعه دادهاند که سیستمهای آلوده به آنها را با رونویسی بخش موسوم به Master Boot Record – به اختصار MBR – یا با از بین بردن فایلها دچار اختلال میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان از شناسایی حداقل پنج نسخه از این نوع بدافزارها خبر دادهاند که تعدادی از آنها بهصورت گسترده منتشر شده و برخی نیز احتمالاً با اهداف آزمایشی یا سرگرمی نوشته شدهاند. در چهار مورد از این نمونهها از الگوی مرتبط با موضوع اصلی این روزها یعنی ویروس کرونا بهره گرفته شده و ظاهراً بیشتر از آنکه اهداف مالی در آنها دنبال شده باشد، عملکردی خرابکارانه را از خود بروز میدهند.
دو مورد از چهار نمونه شناسایی شده توسط محققان امنیتی در هفتههای اخیر با عملکرد پیشرفته اقدام به رونویسی سکتورهای MBR میکنند.
اعمال تغییرات در بخش MBR ساده نبوده و مستلزم داشتن دانش فنی است و هر گونه اشتباه، حتی کوچک ممکن است منجر به راهاندازی نشدن سیستم شود.
یکی از این بدافزارهای رونویسیکننده MBR با نام COVID-۱۹.exe در دو مرحله دستگاه را آلوده میکند. در فاز نخست، تنها یک پنجره آزاردهنده ظاهر میشود که به دلیل غیرفعال بودن Windows Task Manager کاربر در حالت عادی قادر به بستن آن نیست. در حالی که کاربر با این پنجره سروکله میزند بدافزار بی سروصدا در پشتصحنه بخش MBR را رونویسی میکند. در ادامه دستگاه را راهاندازی مجدد کرده و در نتیجه MBR جدید، کاربر، دیگر با صفحه موسوم به Pre-boot همیشگی روبرو نمیشود. با این حال امکان دسترسی به سیستم با استفاده از برنامههای مخصوصی که برای بازگردانی و ساخت مجدد MBR طراحی شدهاند محتمل است. دیگر بدافزار با الگوی ویروس کرونا که اقدام به رونویسی MBR میکند عملکردی متفاوت دارد. در نگاه اول بدافزار مذکور یک باجافزار کرونایی به نظر میآید. اما قابلیت اصلی آن سرقت رمزهای عبور ذخیره شده از روی دستگاه آلوده است؛ بهعبارت دیگر باجافزار جلوه دادن آن تنها برای فریب کاربر و مخفی کردن ذات جاسوسی این بدافزار است.
بهمحض پایان عملیات سرقت، بدافزار وارد مرحلهای میشود که در آن با رونویسی شدن MBR، کاربر، با پیام معمول حین راهاندازی مواجه نشده و عملاً دسترسی به سیستم مسدود میشود. در نتیجه بروز این اختلال تنها چیزی که به ذهن کاربر خطور نمینکند سرقت شدن برخی دادههای با اهمیت اوست. در حالی که نسخهای از این بدافزار شامل کدهایی برای از بین بردن فایلهای بر روی سیستم کاربر است اما ظاهراً قابلیتی است که حداقل در آن نسخه فعال نشده است.
نسخهای دیگر از این بدافزار نیز توسط محققان شناسایی شده که ضمن دارا بودن توانایی رونویسی MBR، قابلیت حذف فایل در آن با یک قفلکننده تصویر (Screen-locker) قابل اجرا جایگزین شده است.
محققان علاوه بر شناسایی این نمونههای رونویسیکننده MBR با الگوی کرونا دو نمونه از بدافزارهای موسوم به Data Wiper را نیز کشف کردهاند.
مورد اول که در ماه فوریه شناسایی شده از یک نام فایل چینی استفاده کرده و عمدتاً کاربران چینی را هدف قرار میدادهاست. مشخص نیست که آیا این بدافزار نمونهای آزمایشی بوده یا برای توزیع واقعی طراحی شدهاست. مورد دوم نیز پس از آپلود شدن بر روی سایت VirusTotal توسط کاربری در ایتالیا به دست محققان رسیدهاست.
البته هر دوی این نمونهها به دلیل استفاده از روشهای ناکارآمد، پرخطا و زمانبر در فرایند حذف فایلها از روی سیستم آلوده ضعیف توصیف شدهاند. اما در هر صورت نتیجه اجرای آنها میتواند سیستم را با مشکلاتی جدی روبرو میکند.
این نخستینبار نیست که نویسندگان بدافزار چنین رویکردهای خرابکارانهای را دنبال میکنند. برای بدافزارهای با اهداف مالی، همواره نمونههایی جعلی و بعضاً سرگرمکننده نیز به چشم میخورد. مشابه آن را میتوان در باجافزار WannaCry دید که در پی موفقیت در آلودهسازی دهها میلیون دستگاه در کشورهای مختلف، برای مدتها نسخی جعلی از آن در حال ظهور بودند.