بهگفته پژوهشگران Avast تروجان NetWire توسط بدافزار WiryJMPer منتقل میشود و رایانهها را آلوده می کند.
منبع : مرکز مدیریت راهبردی افتا
بهگفته پژوهشگران Avast تروجان NetWire توسط بدافزار WiryJMPer منتقل میشود و رایانهها را آلوده می کند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک منتقلکننده بدافزار جدید کشف شدهاست که رایانهها را توسط یک payload مخرب با نام Netwire آلوده میکند. این payload در دو فایل اجرایی مخرب مخفی شدهاست و با استفاده از مبهمسازی، نرمافزارهای ضدبدافزار را دور میزند.
این منتقلکننده WiryJMPer نام دارد. payload منتقلشده NetWire است که با نامهای Recam یا NetWireRC نیز شناختهمیشود. NetWire یک تروجان با دسترسی از راه دور (RAT) است که از سال ۲۰۱۲ بهطور گسترده مورد استفاده قرار گرفته و قابلیتهای کنترل از راه دور را دارد. تمرکز این payload بر روی کلیدنگاری و سرقت گذرواژه است تا برای مهاجمان امکان دسترسی غیرمجاز و کنترل از راه دور رایانههای قربانیان را فراهم کند.
در ابتدا به نظر میرسد که WiryJMPer یک فایل اجرایی WinBin2Iso (برنامهای برای تبدیل CD/DVD/Blu-ray به فایلهای ISO) باشد، اما حجم آن بیش از سهبرابر حالت عادی است. باینری دوم که بدافزار از آن برای پنهان شدن استفادهمیکند، کیف پول الکترونیکی ABBC Coin، یک رمزارز مبتنیبر زنجیره بلوکی، است. نکته قابل توجه درباره این بدافزار، نحوه مبهمسازی غیرمعمول آن است. نوع مبهمسازی بدافزار باعث شدهاست تا شناسایی آن در VirusTotal با نرخ پایینی انجام شود و از ۶۶ مورد، فقط ۶ مورد آن شناسایی شدهاست. تلاش برای کسب پایداری این بدافزار در سیستم قربانی با کپی کردن فایل باینری اصلی در آدرس APPDATA%\abbcdriver.exe% و ایجاد میانبر آن در پوشه Startup انجاممیشود.