بد افزار مخفی: کنترل botnet از طریق وب میل!
کد مطلب: 8085
تاریخ انتشار : يکشنبه ۹ شهريور ۱۳۹۳ ساعت ۰۹:۰۰
 
کارشناسان امنیتی شرکت جی.دیتا نوع جدیدی از بد افزار های مخفی برای دریافت دستورات کنترلی که قادر به سوء استفاده از پورتال های وب مشهور مثل Yahoo و Gmail می باشد را کشف کرده اند.
بد افزار مخفی: کنترل botnet از طریق وب میل!
 
 
Share/Save/Bookmark
کارشناسان امنیتی شرکت جی.دیتا نوع جدیدی از بد افزار های مخفی برای دریافت دستورات کنترلی که قادر به سوء استفاده از پورتال های وب مشهور مثل Yahoo و Gmail می باشد را کشف کرده اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، خاصیتی که تروجان IcoScript را بسیار غیر معمول می سازد این است که این بد افزار برای اتصال خودکار به یک حساب ایمیل از زبان اسکریپت نویسی منحصر به فرد خود استفاده میکند . این حساب کاربری توسط هکر ها تنظیم شده است تا بواسطه آن به کامپیوتر های آلوده دستور صادر کنند. 

دسترسی به وب میل سازمانی شرکت ها به ندرت مسدود میباشد. بنابراین تروجانمیتواند در پشت پرده و بدون جلب توجه اقدام به دریافت و اجرای دستورات کند . کارشناسان Gdata این بد افزار را Win۳۲.Trojan.IcoScript.A نامیده اند که نتیجه کامل بررسی هایشان در مجله ویروس بولتن منتشر شده است.

این تروجان٬ کامپیوتر های شخصی با سیستم عامل ویندوز را آلوده می کند.

این بدافزار گمراه کننده که Win۳۲.Trojan.IcoScript.A نامیده می شود، از سال ۲۰۱۲ بدون اینکه شناسایی شود، باعث ایجاد دردسر می شد. این تروجان که نوعی ابزار مدیریتی از راه دور (RAT‌) مدولار محسوب می شود، کامپیوتر های شخصی با سیستم عامل ویندوز را آلوده می کند. 

این بد افزار معمولا خود را به پروسه های نرم افزار کاربردی تزریق می کند. نرم افزار ضد ویروس مشکلی در شناسایی این روش ندارد. اما IcoScript از طرفی دیگر، رابط توسعه گر COM (مدل شیء کامپوننت) را مورد سوء استفاده قرار می دهد تا خود را به اینترنت اکسپلورر متصل کند. علاوه بر سایر موارد، رابط COM توسعه گران را قادر می سازد تا برای مرورگر پلاگین بسازند. 

این قابلیت به برنامه نویسان بد افزار یک مکان مخفی ارائه میدهد تا بدون اینکه توسط کاربر یا نرم افزار محافظت در برابر ویروس مورد شناسایی قرار گیرد، خود را با مرورگر وفق دهد. پس از این کار، داده های موجود در کامپیوتر و شبکه به صورت داده های طبیعی گشت و گذار در اینترنت به نظر می رسند. علاوه بر آن، طراحان بد افزار نیازی به نگرانی در مورد تنظیمات شبکه نیز ندارند.
 
این داده ها می توانند به طریقی که در مرورگر پیکربندی شده اند، پذیرفته شوند. به گفته رالف بنزمولر رئیس سیستم های لابراتوار امنیت Gdata، این بد افزار سازگار با شرایط متغییر که فعالیت های خود را در جریان های داده ای متعارف ادغام می کند، برای دپارتمان های امنیت فناوری اطلاعات و سیستم های مقابله با تهدید مشکلات فراوانی را به وجود آورده است. به گفته وی این بد افزار نمایش می دهد که توسعه دهندگان بدافزار یک بار دیگر چقدر خوب به مکانیزم های مقابله با تهدید پاسخ می دهند.

IcoScript برای تابع فرمان از سرویس وب میل سوء استفاده می کند

نحوه کارکرد IcoScript بدین ترتیب است که این تروجان با استفاده از اینترنت اکسپلورر سرویس های وب میل مانند Yahoo را به منظور دریافت توابع فرمان و کنترل خود، مورد سوء استفاده قرار می دهد. به منظور اینکه IcoScript از صندوق پستی الکترونیکی اصلی خود ایمیل دریافت نماید، این تروجان به زبان اسکریپت نویسی اختصاصی مجهز گردیده است.
 
این قابلیت آنرا قادر می سازد تا عملیاتی خودکار را در صفحات پورتال های وب اجرا نماید. IcoScript.A این کار را بدین ترتیب انجام می دهد که ابتدا پورتال ایمیل Yahoo را باز نموده، به آن وارد شده و سپس ایمیل دریافت می کند. سپس در ایمیل به دنبال کدهای کنترلی می گردد که در قالب فرامینی به برنامه بد افزار ارسال گردیده اند. ایمیل همچنین می تواند به منظور ارسال اطلاعات از شبکه نیز مورد استفاده قرار گیرد. 

بنزمولر چنین توضیح می دهد که این فرایند محدود به Yahoo نبوده و می تواند تحت تعدادی از سایر پورتال های وب مانند Gmail،Outlook.com و غیره نیز با همان کیفیت کار کند. حتی LinkedIn، Facebook و سایر شبکه های اجتماعی نیز به همین طریق می توانند مورد سوء استفاده قرار بگیرند.

تاسیس پایدار ویروس بولتن در صنعت ضد ویروس

تحلیل این موضوع در مجله British IT ویروس بولتن تحت عنوان IcoScript :
استفاده از وب میل برای کنترل بد افزار منتشر شده است. بنزمولر در این زمینه توضیح می دهد که IcoScript بد افزاری بسیار غیر عادی است. ما خوشحالیم از اینکه مقاله ما در این مجله حرفه ای و مشهور منتشر شده است و ما به این موضوع به عنوان به رسمیت شناخته شدن تحقیقاتمان نگاه می کنیم. ویروس بولتن در صنعت ضد ویروس به عنوان عنصری ثابت است و اعتباری عالی را در طول سالیان ازآن خود کرده است.
مرجع : رایان سامانه آرکا