‫ هکرها بدافزار VenomRAT را در فایل تصویری هارد دیسک مجازی مخفی می‌کنند

Forcepoint X-Labs فاش می‌کند که هکرها از فایل‌هایVHD برای گسترش بدافزارVenomRAT استفاده می‌کنند و نرم‌افزار امنیتی را دور می‌زنند. 

محققان امنیت سایبری درForcepoint X-Labs یک کمپین بدافزار جدید و حیله‌آمیز را شناسایی کرده‌اند که در حال پخش و آلوده کردن دستگاه‌های هدف باVenomRAT، یک تروجان دسترسی از راه دور، شناخته شده برای هدف قرار دادن محققان در حملات جعلیPoC (اثبات مفهوم) است.

در این کمپین، مجرمان سایبری به جای اسناد یا فایل‌های اجرایی که معمولاً آلوده شده‌اند، VenomRAT خطرناک پنهان شده در فایل تصویری هارد دیسک مجازی(vhd.) را تحویل می‌دهند.

کمپین با یک ایمیل فیشینگ آغاز می‌شود. این بار طعمه یک سفارش خرید ظاهرا بی‌ضرر است. با این حال، باز کردن بایگانی پیوست یک سند معمولی را نشان نمی‌دهد. در عوض، کاربران یک فایل.vhd را پیدا می‌کنند. محفظه‌ای که یک هارد دیسک فیزیکی را تقلید می‌کند.

هنگامی که کاربر فایل.vhd را باز می‌کند، رایانه او با آن مانند یک درایو جدید رفتار می‌کند. اما این یک درایو پر از فایل‌های قانونی نیست. این شامل یک اسکریپت دسته‌ای مخرب است که برای ایجاد آسیب طراحی شده است. استفاده از فایل.vhd برای انتشار بدافزار یک ترفند جدید است. از آنجایی که این فایل‌ها معمولاً برای تصویربرداری و مجازی‌سازی دیسک استفاده می‌شوند، نرم‌افزار امنیتی همیشه آن‌ها را به‌عنوان یک تهدید علامت‌گذاری نمی‌کند.

پراشانت کومار، محقق امنیتی درForcepoint X-Labs توضیح می‌دهد: "این یک رویکرد منحصر به فرد است." مهاجمان دائماً به دنبال راه‌هایی برای فرار از شناسایی هستند و مخفی کردن بدافزار در تصویر هارد دیسک مجازی نمونه خوبی از آن است.

حمله و سرقت اطلاعات کاربر
طبق تحقیقاتForcepoint X-Labs که باHackread.com به اشتراک گذاشته شده است، اسکریپت بدافزار با چندین لایه کد پنهان می‌شود و پس از فعال شدن، یک‌سری فعالیت‌های مخرب را اجرا می‌کند. با خود تکثیر شروع می‌شود و مطمئن می‌شوید که یک کپی همیشه در دسترس است.

سپس، PowerShell را راه‌اندازی می‌کند، یک ابزار قانونی ویندوز که اغلب توسط مهاجمان مورد سوء‌استفاده قرار می‌گیرد‌ و با قرار دادن یک اسکریپت مخرب در پوشهStartup، پایداری را ایجاد می‌کند و به آن اجازه می‌دهد هر زمان که کاربر وارد سیستم می‌شود، به طور خودکار اجرا شود. برای حفاری بیشتر، اسکریپت تنظیمات رجیستری ویندوز را تغییر می‌دهد و شناسایی و حذف آن را سخت‌تر می‌کند.

این بدافزار همچنین با اتصال بهPastebin، یک پلتفرم محبوب اشتراک‌گذاری متن، از ارتباطات پنهان استفاده می‌کند تا دستورالعمل‌ها را از یک سرور فرمان و کنترل از راه دور(C2) که به عنوان مرکز فرماندهی مهاجم عمل می‌کند، دریافت کند. پس از ایجاد، بدافزار سرقت داده‌ها را آغاز می‌کند، فشارهای کلید را ثبت می‌کند و اطلاعات حساس را در یک فایل پیکربندی ذخیره می‌کند. همچنین برای کمک به رمزگذاری و دست‌کاری سیستم، اجزای اضافی از جمله یک فایل اجرایی دات نت را دانلود می‌کند.

محققان خاطرنشان کردند که این نوعVenomRAT ازHVNC (محاسبات شبکه مجازی پنهان) استفاده می‌کند، یک سرویس کنترل از راه دور که به مهاجمان اجازه می‌دهد تا سیستم آلوده را بدون شناسایی کنترل کنند.

چه چیزی برای کاربران ناخواسته اتفاق می‌افتد؟
مراقب پیوست‌های ایمیل باشید، حتی اگر قانونی به نظر برسند. به خصوص اگر از فرستنده ناشناس آمده باشند. اگر فاکتور یا سفارش خرید غیرمنتظره‌ای دریافت کردید، به جزئیات تماس در ایمیل اعتماد نکنید. آن را مستقیماً با فرستنده با استفاده از یک شماره تلفن یا ایمیل شناخته شده تأیید کنید.

به روز نگه داشتن سیستم عامل، آنتی ویروس و ابزارهای امنیتی برای جلوگیری از اجرای تهدیدات در سیستم شما بسیار مهم است. در نهایت، مطمئن شوید که تیم شما می‌داند چگونه تلاش های فیشینگ را شناسایی و گزارش کند. آگاهی و عقل سلیم دو مورد از بهترین اقدامات امنیت سایبری هستند که هر کسی می‌تواند در هر مکان و در هر زمان از آن استفاده کند.

منبع

hackread