هکرها در یک کمپین بدافزاری جدید با استفاده از نسخه مخرب برنامه dnSpy اقدام به رهاسازی بدافزارهای متنوع بر روی سیستم محققان و توسعه‌دهندگان امنیت سایبری کرده‌اند.

هکرها در یک کمپین بدافزاری جدید با استفاده از نسخه مخرب برنامه dnSpy اقدام به رهاسازی بدافزارهای متنوع بر روی سیستم محققان و توسعه‌دهندگان امنیت سایبری کرده‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، هکرها در یک کمپین بدافزاری پیچیده، محققان و توسعه‌دهندگان امنیت سایبری را مورد هدف قرار داده‌اند. مهاجمان در این کمپین با هدف نصب سرقت‌کننده‌های ارز دیجیتال، تروجان‌های دسترسی راه دور و استخراج‌کننده‌ها، اقدام به انتشار نسخه آلوده و مخرب اپلیکیشن dnSpy .NET می‌کنند.

dnSpy یک دی‌باگر (برطرف کننده عیب و اشکال) محبوب و ویرایشگر اسمبلی دات نت است که برای دی‌باگ، اصلاح و دی‌کامپایل کردن (فرازش) برنامه‌های دات نت مورد استفاده قرار می‌گیرد. محققان امنیت سایبری معمولا برای تحلیل بدافزار و نرم‌افزار دات نت از این برنامه استفاده می‌کنند.

اگرچه این نرم‌افزار دیگر به صورت فعال توسط توسعه‌دهندگان اولیه آن توسعه نمی‌یابد اما کد منبع اصلی و نسخه جدید آن بر روی گیت‌هاب قابل دسترسی است و هر کسی می‌تواند آن را دستخوش تغییر کند.

این هفته یک بازیگر مخرب مرکز ذخیره‌سازی گیت‌هابی را همراه با نسخه فشرده dnSpy ایجاد کرد که بدافزارهایی شامل هایجک‌کننده‌های کلیپ بورد، ماینر، تروجان دسترسی راه دور Quasar و پی‌لودهای ناشناخته را نصب می‌کند.

این کمپین توسط محققان امنیتی 0day enthusiast و MalwareHunterTeam شناسایی شد.

این برنامه درصورت اجرا می‌تواند فعالیت‌های زیر را انجام دهد:
- غیرفعال‌سازی Microsoft Defender
- استفاده از bitsadmin.exe برای دانلود curl.exe
- استفاده از curl.exe و bitsadmin.exe برای دانلود پی‌لودهای مختلف در پوشه C:Trash و راه‌اندازی آن ها
غیرفعال‌سازی کنترل حساب کاربری

در حال حاضر dnSpy[.]net و مرکز ذخیره‌سازی گیت‌هاب هر دو غیر فعال هستند.

حمله به محققان و توسعه‌دهندگان امنیت سایبری موضوع جدیدی نیست و به طور فزاینده‌ای در حال رشد است. مهاجمان با هدف قرار دادن آنها سعی بر سرقت آسیب‌پذیری‌های افشا نشده و کد منبع و همچنین دسترسی به شبکه‌های حساس دارند.