عملیاتهای اسپم مخربی شناسایی شدهاند که در آنها از دانلودکننده Gelup یا AndroMut و درِ پشتی FlowerPippi استفاده شدهاست.
منبع : مرکز مدیریت راهبردی افتا
عملیاتهای اسپم مخربی شناسایی شدهاند که در آنها از دانلودکننده Gelup یا AndroMut و درِ پشتی FlowerPippi استفاده شدهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Trend Micro به تازگی عملیاتهای اسپم مخربی را مشاهده کردهاند که در حال توزیع بدافزارهای جدیدی هستند. در این حملات از دانلودکننده Gelup یا AndroMut و در پشتی FlowerPippi استفاده شدهاست.
این حملات که به گروه TA505 نسبت داده شدهاست از طریق ایمیلهای اسپم حاوی اسناد DOC و XLS انجام میشوند. بدافزار پس از باز شدن اسناد مخرب، توسط ماکروهای VBA منتقل میشود. در برخی از نمونهها از URLهای مخرب که به تروجان FlawedAmmyy RAT منتهی میشوند، استفاده شدهاست.
ویژگی قابل توجه بدافزار Gelup استفاده از مبهمسازی و یک تکنیک دور زدن UAC (کنترل حساب کاربری) است. توسعهدهندگان Gelup چندین تکنیک مختلف را به منظور جلوگیری از تحلیل و شناسایی فرایند آلودگی طراحی کردهاند تا بدافزار تا حد امکان مخفی بماند. برای کسب پایداری در سیستم هدف، بدافزار Gelup یک فرایند را زمانبندی میکند که این فرایند یک فایل LNK را در سطل بازیافت (Recycle Bin) سیستم قرار میدهد.
روش دیگر کسب پایداری اضافه کردن یک ورودی رجیستری است. پژوهشگران Proofpoint بدافزار دانلودکننده را AndroMut نامگذاری کردهاند و چندین همپوشانی بین این بدافزار و بدافزارهای Andromeda و QtLoader کشف کردهاند.
بدافزار دوم در این حملات در پشتی FlowerPippi است که دارای قابلیت انتقال payloadهای مخرب دیگر در سیستم هدف است. Payloadها در قالب فایلهای اجرایی یا DLL هستند. این درپشتی میتواند اطلاعات رایانه قربانی را استخراج کند و دستورهای دلخواه دریافتشده از سرور فرمان و کنترل را اجرا کند.
حملات دیگری نیز توسط گروه TA505 در هفتههای گذشته مشاهده شد که تروجان FlawedAmmyy از طریق فایلهای اکسل مخرب در آنها انتشار یافتهاست. این حملات توسط پژوهشگران مایکروسافت شناسایی شدند و در آنها از آسیبپذیری CVE-۲۰۱۷-۱۱۸۸۲ سوءاستفاده شدهاست.