گزارشات تحلیلی | مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای

گزارشات تحلیلی
گزارش تحلیلی باج افزار pysa Pysa Ransomware #‫باج_افزار_pysa به عنوان جدیدترین باج افزار شناسایی شده است. محققان امنیت سایبری متوجه شدند این تهدید متعلق به خانواده Mespinoza Ransomware می باشد. اکثر باج افزارها به شیوه ای یکسان عمل میکنند آنها به یک سیستم هدفمند نفوذ می کنند، داده ها را رمزنگاری می کنند و سپس از قربانی می خواهند برای دریافت کلید رمزنگشایی باج پرداخت کنند . که قرار هست پرونده های اسیب دیده را باز کنند. بیشتر اوقات، نویسندگان باج افزار مبلغ سنگین و به ندرت چندین صد دلار درخواست می کنند.
بدافزار TrickMo بدافزار TrickBot احراز هویت دو مرحله‌ای را در خدمات بانکی اینترنتی از طریق موبایل دور می‌زند. نویسندگان بدافزار در پشت پرده تروجان بانکی TrickBot یک نرم‌افزار اندرویدی ایجاد کرده‌اند که می‌تواند کد احراز هویت یک بار مصرف ارسال شده توسط پیامک یا ارسال اعلان‌ (ایمن‌تر) به مشتریان بانکی اینترنتی را قطع کرده و عملیات کلاهبرداری خود را تکمیل کند.
استفاده از RDP ActiveX Control در ویندوز 10 توسط بدافزار Trickbot اخیراً مهاجمان برای اجرای خودکار یک بدافزار دانلود کننده به نام #Ostap که پیش‌تر به‌کارگیری آن توسط بدافزار Trickbot مشاهده شده بود، از Remote Desktop ActiveX Control در ویندوز 10 و مستندات ورد استفاده می‌کنند. ویژگی Remote Desktop ActiveX Control به مایکروسافت اجازه می‌دهد تا مرتباً سیستم عامل را برای محافظت هر چه بیشتر از سیستم به‌روزرسانی کند؛ اما در این حمله از این ویژگی برای اجرا ماکروهای مخرب که حاوی بدافزار دانلودکننده‌ی Ostap هستند، استفاده شده است. در این گزارش به بررسی عملکرد این بدافزار می‌پردازیم. آغاز کار با فیشینگ
بررسی بدافزار Lemon Duck اهداف مالی، همواره یکی از محرک های جدی برای مجرمان سایبری بوده است و همچنین همواره مهاجمان برای استخراج رمزارزها، اقدام به سوءاستفاده از قدرت محاسباتی سیستم های کاربران و سرورها کرده اند. استخراج رمزارزها از جمله روش هایی است که منجر به تولید آسان و بدون ریسک پول می شود؛ از این رو بدافزارهای استخراج کننده روی دستگاه ها در حال افزایش و روش ها و تکنیک های مورد استفاده برای این کار، در حال پیشرفت هستند. در این گزارش به بررسی یك بدافزار جدید برای استخراج رمزارزها به نام Lemon_Duck می پردازیم که از اکسپلویت Eternalblue برای انتشار در شبكه استفاده می کند.
بررسی یک آسیب‌پذیری بحرانی در مودم‌های کابلی اخیرا محققان یک آسیب پذیری بحرانی در مودم های کابلی پیدا کرده اند که ممکن است صدها میلیون مودم را در سراسر جهان تحت تاثیر قرار دهد. این آسیب پذیری مربوط به سیستم های روی یک تراشه Broadcom است که در بسیاری از مودم های کابلی مورد استفاده قرار می گیرد، به ویژه در نرم افزارهایی برای مقاومت در برابر افزایش قدرت سیگنال، تحلیلگر spectrum را اجرا می کنند. در ادامه به بررسی بیشتر این آسیب پذیری خواهیم پرداخت. دانلود پیوست
بدافزار جدید Mozart بدافزار جدید Mozart که دستورات را گرفته و ترافیک را با استفاده از DNS پنهان می‌کند. یک بدافزار دربِ‌پشتی جدید به نام #Mozart با استفاده از پروتکل DNS با مهاجمین از راه دور ارتباط برقرار می‌کند تا از شناسایی‌شدن توسط نرم‌افزارهای امنیتی و سیستم‌های تشخیص نفوذ، جلوگیری کند. معمولاً وقتی یک بدافزار برای دریافت دستوراتی که باید اجرا شود با سرور ارتباط می‌گیرد، این کار را با استفاده از پروتکل‌های HTTP/S برای سهولت استفاده و ارتباط انجام می‌دهد.
گزارش تحلیلی تروجان Parallax یک #‫تروجان با دسترسی از راه دور (RAT) به نام #Parallax به طور گسترده در حال توزیع از طریق کمپین های مخرب اسپم می باشد. هنگامی که یک سیستم ویندوزی به این تروجان آلوده شود مهاجم می تواند کنترل کامل آن سیستم را در دست بگیرد. مهاجم از این بدافزار برای دسترسی به سیستم قربانی استفاده می کند تا به نام کاربری و رمزهای عبور ذخیره شده در سیستم دسترسی پیدا کند و همچنین بتواند دستورات دلخواه خود را اجرا کند سپس از این اطلاعاتی که جمع آوری کرده است میتواند برای سرقت هویت قربانی، دسترسی به حساب های بانکی و توزیع بیشتر این تروجان استفاده کند.
حملات فعال به بیش از یک میلیون سایت وردپرسی از طریق آسیب‌پذیری افزونه Duplicator یک #‫آسیب‌پذیری بحرانی با درجه حساسیت مهم در یکی از معروف‌ترین افزونه‌های وردپرسی به نام Duplicator یافت شده است. بیش از یک میلیون سایت وردپرسی تحت تاثیر این آسیب‌پذیری که به مهاجم اجازه‌ی دانلود فایل دلخواه از وب‌سایت قربانی را می‌دهد، قرار دارند. در این گزارش به بررسی قطعات کد آسیب‌پذیر، اهمیت آن و جزییات حملات در حال انجام توسط این آسیب‌پذیری می‌پردازیم. دانلود پیوست
بررسی تکنیک جدید بدافزار Emotet تروجان بانکی Emotet نخستین بار توسط محققان امنیتی در سال 2014 کشف و گزارش شد. Emotet در اصل یک بدافزار بانکی بود که با نفوذ به سیستم قربانی، اطلاعات شخصی و حساس قربانی را به سرقت می‌برد. این بدافزار برای انتشار از طریق ایمیل‌های اسپم عمل می‌کرد و تاثیر خود بر قربانی را با اسکریپت‌های مخرب، فایل‌هایی با قابلیت اجرای macro یا لینک‌های مخرب کامل می‌کرد. همچنین این بدافزار برای دریافت به‌روزرسانی خود از سرورهای C&C استفاده می‌کند.
تحلیل بدافزار فیلترشکن - پوشفا در این گزارش، به بررسی برنامه #‫فیلترشکن، از دسته بدافزارهای #‫پوشفا پرداخته شده که به تازگی مجددا اقدام به تولید و انتشار بدافزار کرده است. این بدافزار با داشتن مجوزهای دریافت، خواندن و ارسال پیامک قادر است قربانی را عضو سرویس‌های ارزش‌افزوده نماید. مرکز کنترل و فرمان بدافزار نیز در آدرس https://pushfa.app/ قرار دارد که از طریق آن می‌تواند اقدامات مختلفی از جمله دانلود و نصب برنامه دیگر، باز کردن لینک در مرورگر و تلگرام، ارسال پیامک و ... روی دستگاه قربانی انجام دهد.

دسترسی سریع

تماس با ما