شرکت مایکروسافت نسبت به شروع موج جدیدی از حملات باجافزار CACTUS هشدار داده است که از تبلیغات بدافزاری مبتنی بر بدافزار DanaBot به عنوان یک ابزار ایجاد دسترسی اولیه استفاده میکند. بدافزار DanaBot (storm-1044) یک ابزار چند منظوره در پی بدافزارهای Emotet، TrickBot، QakBot و IcedID است که میتواند به عنوان یک دزد و یک نقطه ورود برای محتواهای آلوده مرحله بعدی حمله عمل کند. به گفته محققان شرکت مایکروسافت، مهاجمان از دسترسی اولیه توسط آلودگیهای بدافزار QakBot نیز استفاده کردهاند.
بدافزار DanaBot یک تروجان ماژولار بانکی چند مرحلهای است که در دلفی نوشته شده است و اولین بار در سال 2018 کشف شد. این بدافزار یک ساختار ماژولار را پیادهسازی میکند که به مهاجمان این امکان را میدهد تا با افزودن افزونههای جدید از عملکردهای جدید پشتیبانی کنند. به نظر میرسد کمپین فعلی Danabot که برای اولین بار در ماه نوامبر مشاهده شد، از یک نسخه بدافزار سرقت اطلاعات به جای ارائه بدافزار به عنوان یک سرویس استفاده میکند. اعتبار جمعآوری شده توسط بدافزار به یک سرور کنترل شده منتقل میشود. این افشاگری چند روز پس از آن صورت میگیرد که مجموعه دیگری از حملات باجافزار CACTUS فاش شد که به طور فعال از آسیبپذیریهای حیاتی در پلتفرم تحلیل داده Qlik Sense جهت دسترسی به شبکههای شرکتی بهرهبرداری میکند.
محصولات تحت تأثیر
ابزار حمله Danabot از طریق ایمیل و پیامهای مهندسی اجتماعی منتشر میشود.
توصیههای امنیتی
با توجه به اینکه بدافزار Danabot یک ابزار منتشر شده از طریق ایمیل میباشد، تقویت مکانیزمهای بررسی محتواهای ضمیمه شده در ایمیلها مورد تاکید است. بهروزرسانی ابزارهای امنیتی در سرورهای ایمیل و سیستمهای کاربران نیز حائز اهمیت میباشد. همچنین باید هشدارهای لازم به کارکنان سازمانها در خصوص حملات مهندسی اجتماعی داده شود.
منابع خبر:
[1] https://thehackernews.com/2023/12/microsoft-warns-of-malvertising-scheme.html
[2] https://securityaffairs.com/155184/cyber-crime/danabot-spread-cactus-ransomware.html
- 106