یافتههای فعلی نشان میدهد که توسعهدهندگان Necurs بهطور فعال در حال استفاده از ابزارهای جدیدی هستند تا از اقدامات امنیتی جلوگیری کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آخرین گزارشها نشان میدهد که باتنت Necurs برای جلوگیری از شناسایی از میانبرهای اینترنتی یا URL استفاده میکند، اما بهنظر میرسد که نویسندگان آن مجددا بهروزرسانیهایی را انجام دادهاند.
یافتههای فعلی نشان میدهد که توسعهدهندگان Necurs بهطور فعال در حال استفاده از ابزارهای جدیدی هستند تا از اقدامات امنیتی جلوگیری کنند. اینبار در موج جدیدی از حملات ایمیلهای اسپم از این باتنت از فایلهای IQY برای جلوگیری از تشخیص استفاده شدهاست.
باتنت Necurs در حملات سایبری مختلفی طی سالها شرکت داشتهاست. در سال ۲۰۱۷ از این باتنت برای توزیع باجافزار Locky استفاده شدهاست. در استفاده فعلی از این باتنت از فایلهای IQY به عنوان بردار آلودهسازی استفاده شدهاست. فایلهای IQY فایلهای متنی هستند که دارای فرمت خاصی هستند. استفاده معمول از این فایلها وارد کردن اطلاعات منابع خارجی به فایلهای اکسل است. به صورت پیشفرض ویندوز فایلهای IQY را با نرمافزار اکسل باز میکند.
در موج جدید ایمیلهای اسپم، فایلهای IQY در پیوست مشاهده میشود. موضوع و فایل پیوست درباره تخفیفات فروشگاهی و تبلیغات است. زمانی که کاربر فایل IQY را اجرا کند، فایل با URL موجود در آن ارتباط برقرا میکند و دادههایی را دریافت میکند. بررسی بیشتر این دادهها نشان میدهد که اطلاعات دریافتی از ویژگی DDE اکسل سوءاستفاده میکند و باعث میشود که یک فرایند PowerShell آغاز شود.
اسکریپت PowerShell ، یک تروجان با دسترسی از راه دور (RAT) و پیلود نهایی یعنی یک در پشتی با نام FlawedAMMYY را دانلود میکند. در موج جدید، اسکریپت قبل از دانلود پیلود نهایی یک image را نیز دانلود میکند که دانلودکننده یک فایل مولفه رمزگذاری شدهاست.
در پشتی دانلود شده دستورات زیر را از سرور مخرب بصورت از راه دور اجرا میکند:
• مدیریت فایل
• مشاهده تصویر صفحه
• کنترل از راه دور
• گفتوگوی صوتی
• نصب/شروع/توقف/حذف/غیرفعال سازی پس زمینه دسکتاپ
• غیرفعالسازی desktop composition
• غیرفعالسازی افکتهای بصری
• نمایش tooltip نشانگر
کاربران باید نسبت به دانلود پیوستهای مشکوک با احتیاط عمل کنند. مایکروسافت درباره سوءاستفاده DDE آگاه است و به همین دلیل دو پیغام تایید قبل از اجرای فایل IQY برای کاربر باز میشود.
IOCها:
۳۰e۲f۸e۹۰۵e۴۵۹۶۹۴۶e۶۵۱۶۲۷c۴۵۰e۳cc۵۷۴fdf۵۸ea۶e۴۱cdad۱f۰۶۱۹۰a۰۵۲۱۶
۰bd۵f۱۵۷۳a۶۰d۵۵c۸۵۷da۷۸affa۸۵f۸af۳۸d۶۲e۱۳e۷۵ebdd۱۵a۴۰۲۹۹۲da۱۴b۰b
۶۰۲a۷a۳c۶a۴۹۷۰۸a۳۳۶d۴c۹bf۶۳c۱bd۳f۹۴e۸۸۵ef۷۷۸۴be۶۲e۸۶۶۴۶۲fe۳۶b۹۴۲
۷c۶۴۱ae۹bfacad۱e۴d۱d۰feef۳ec۹e۹۷c۵۵c۶bd۶۶۸۱۲f۵d۹cf۲a۴۷ba۴۰a۱۶dd۴
۷f۹cedd۱b۶۷cd۶۱ba۶۸d۳۵۳۶ee۶۷efc۱۱۴۰bdf۷۹۰b۰۲da۷aab۴e۵۶۵۷bf۴۸bb۶f
a۵۶۰c۵۳۹۸۲dd۷f۲۷b۲۹۵۴۶۸۸۲۵۶۷۳۴ae۶ca۳۰۵cc۹۲c۳d۶e۸۲ac۳۴ee۵۳e۸۸e۴d۳
ba۸ed۴۰۶۰۰۵۰۶۴fdffc۳e۰۰a۲۳۳ae۱e۱fb۳۱۵ffdc۷۰۹۹۶f۶f۹۸۳۱۲۷a۷f۴۸۴e۹۹
ca۰da۲۲۰f۷۶۹۱۰۵۹b۳۱۷۴b۲de۱۴bd۴۱ddb۹۶bf۳f۰۲a۲۸۲۴b۲b۸c۱۰۳۲۱۵c۷۴۰۳c