برخی شرکتهای امنیتی Makop را نسخهای از خانواده باجافزار معروف Phobos میدانند که بهمنظور رمزگذاری از الگوریتم Advanced Encryption Standard – به اختصار AES – بهره میگیرد.
منبع : مرکز مدیریت راهبردی افتا
برخی شرکتهای امنیتی Makop را نسخهای از خانواده باجافزار معروف Phobos میدانند که بهمنظور رمزگذاری از الگوریتم Advanced Encryption Standard – به اختصار AES – بهره میگیرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نخستین نسخه باجافزار Makop در اواخر سال ۱۳۹۸ شناسایی شد. برخی شرکتهای امنیتی Makop را نسخهای از خانواده باجافزار معروف Phobos میدانند که بهمنظور رمزگذاری از الگوریتم Advanced Encryption Standard – به اختصار AES – بهره میگیرد.
اتصال از راه دور مهاجمان از طریق پودمان Remote Desktop Protocol – به اختصار RDP – به دستگاههای با رمز عبور ضعیف یا هک شده و اجرای فایل مخرب باجافزار، اصلیترین روش انتشار Makop است. هرچند که انتشار نمونههایی از Makop نیز از طریق هرزنامههای ناقل فایل/لینک مخرب، فایل مخرب موسوم به Downloader یا با Exploiting از آسیبپذیریهای امنیتی گزارش شده است.
Makop برای ماندگاری طولانیتر، اقدام به ایجاد کلید زیر در (Registry) سیستم عامل میکند: HKCU\Software\Microsoft\Windows\CurrentVersion\Run ۱ = {Malware File Path}\{Malware Filename}.exe
این باجافزار از طریق توابع WNetOpenEnumW و WNetEnumResourceW اقدام به شناسایی منابع و ارتباطات شبکهای میکند. همچنین از GetLogicalDrives و GetDriveTypeW بهترتیب بهمنظور یافتن درایوها و نوع آنها بهره گرفته میشود. Makop فایلهای ذخیره شده در پوشههای اشتراکی و حافظههای جداشدنی متصل به دستگاه را هدف قرار میدهد.
باجافزار با برقراری ارتباط با نشانی زیر از طریق توابع InternetOpenA، InternetConnectA، HttpOpenRequestA و HttpSendRequestA اقدام به استخراج نشانی IP دستگاه قربانی میکند: hxxps[:]//iplogger.org/۱Bzcq۷