یک آسیب‌پذیری بحرانی در RouterOS شرکت میکروتیک امکان اجرای کدهای مخرب را برای هکر از طریق Nova Message فراهم می‌نماید. این آسیب‌پذیری با شناسه CVE-2022-45313 و درجه اهمیت بحرانی شناخته می‌شود که یک محقق امنیتی برای درک بهتر آن PoC را نیز منتشر کرده است. این آسیب پذیری از نوع out-of-bounds read است که در فرایند hotspot است و فرد مهاجم می‌تواند با یک پیام nova و قرار دادن مقدار منفی در کلید u32_id این آسیب پذیری را اکسپولیت کند. با توجه به این نکته که برای اکسپلویت کردن نیاز به احراز هویت کاربر است و کاربر باید در دستگاه خود (web , winbox) احراز هویت شود. 

به دلیل کثرت استفاده از این این محصول اکیداً توصیه می‌شود سیستم‌عامل RouterOS  را در اسرع وقت به نسخه پایدار 7.5 یا بالاتر به‌روزرسانی نمایید.

منابع خبر

https://github.com/cq674350529/pocs_slides/tree/master/advisory/MikroTik/CVE-2022-45313
https://nvd.nist.gov/vuln/detail/CVE-2022-45313
https://securityonline.info/cve-2022-45313-mikrotik-routeros-flaw-can-lead-to-execute-arbitrary-cod…
 

آسیب‌پذیری با شناسه  CVE-2022-4262  و  شدت بسیار بالا  یک نقص Type Confusion در موتور جاوا اسکریپت نسخه ۸ می باشد توسط Clement Lecigne از گروه تحلیل تهدیدات گوگل گزارش شده است.  در این آسیب‌پذیری مهاجم می‌تواند از این نقص Type Confusion برای ایجاد دسترسی حافظه ی خارج از محدوده (Out-of-Band Memory)، اجرای کد دلخواه و از کار انداختن سیستم(Crash) استفاده نماید. همچنین با هدایت کاربر به یک وب سایت مشخص، سیستم وی را تحت حمله DoS‌ قرار دهد. به نقل از NIST این نقص به یک مهاجم از راه دور اجازه می دهد با ساخت یک صفحه ی HTML از تخریب Heap سواستفاده کند. لازم به ذکر است CVE-2022-4262 چهارمین آسیب پذیری Type Confusion بوده که از شروع امسال، گوگل به آن رسیدگی می کند.  همچنین نهمین آسیب پذیری روز صفر است که مهاجمان از آن در سال ۲۰۲۲ استفاده کرده‌اند.
این آسیب پذیری، نسخه‌های مرورگر کروم قبل از ۱۰۸.۰.۵۳۵۹.۹۴ در سیستم عامل مک و لینوکس و همیچنین نسخه های قبل از ۹۵./۱۰۸.۰.۵۳۵۹.۹۴ در سیستم عامل ویندوز و همچنین مرورگرهای بر پایه‌ی کروم مانند Microsoft Edge، Opera، Brave و Vivaldi  را تحت تاثیر قرار می دهد.  
 به کاربران توصیه می‌شود برای مک و لینوکس، مرورگر کروم را به نسخه ی ۱۰۸.۰.۵۳۵۹.۹۴ بروزرسانی کنند و برای ویندوز آن را به نسخه ۹۵./۱۰۸.۰.۵۳۵۹.۹۴ به روزرسانی نمایند تا از خطرات احتمالی پیشگیری گردد.  همچنین به کاربرانی که از مرورگر های بر پایه ی کروم مثل Microsoft Edge، Brave، Opera و Vivaldi استفاه می‌نمایند هم پیشنهاد می‌گردد در اسرع وقت مرورگر های خود را بروزرسانی کنند.  
 منابع خبر  

https://thehackernews.com/2022/12/google-rolls-out-new-chrome-browser.html  
https://securityonline.info/cve-2022-4262-chrome-0-day-vulnerability/
 

دو آسیب پذیری با شدت خطر بحرانی (CVSSv3 9) در Crowd server ،Bitbucket server  و دیتاسنتر مرتبط با آن‌ها و با شناسه‌های CVE-2022-43782 ,CVE-2022-43781 شناخته شده‌اند. آسیب‌پذیری CVE-2022-43782 ناشی از عدم پیکربندی صحیح در Crowd است که به مهاجم اجازه داده تا هنگام احراز هویت با استفاده از عنوان Crowd app، اعتبار سنجی رمز عبور را دور زده و به API های نقاط پایانی ممتاز دست یابد. مطابق با اطلاعات موجود بهره‌برداری از این آسیب‌پذیری نیازمند ایجاد یک شرایط خاص برای مهاجم مانند تغییر پیکربندی آدرس IP به یک آدرس مجاز می‌باشد. آسیب‌پذیری CVE-2022-43781 که بر روی Bitbucket و دیتاسنتر آن تاثیر می‌گذارد از نوع Command injection بوده و به مهاجم این امکان را می دهد تا نام کاربری خود را کنترل نماید. این نقص می‌تواند در شرایط خاص به یک حمله RCE تبدیل گردد و به مهاجم امکان اجرای کد دلخواه خود را در سرویس دهنده آسیب پذیر دهد.

نسخه‌های آسیب پذیر 
تنها نسخه‌های جدید Crowd شامل این آسیب‌پذیری هستند. به عنوان مثال اگر از نسخه 2.9.1 به نسخه 3.0.0 ارتقا یابد، تحت تاثیر این آسیب پذیری قرار نخواهد گرفت اما لازم به ذکر است لیست پیکربندی IP های مجاز به اتصال از راه دور پس از ارتقا، به نسخه جدید منتقل می شود پس نیاز به یک بازنگری درمورد آدرس IP های مجاز است. نسخه های آسیب‌پذیر به شرح زیر است:

•    Crowd 3.0.0 – Crowd 3.7.2
•    Crowd 4.0.0 _ Crowd 4.4.3
•    Crowd 5.0.0 _ Crowd 5.0.2

تمامی نسخه‌های Bitbucket از 7.0 تا 7.21 نیز تحت‌تاثیر آسیب‌پذیری قرار دارند. همچنین در نسخه‌های بالاتر به طور مثال 8.0.0 تا 8.4.1 اگر در قسمت تنظیمات مقدار mesh.enable برابر مقدار false باشد سرویس دهنده نیز تحت تاثیر قرار خواهد گرفت.

•    Bitbucket 7.0 to 7.5 (all versions)
•    Bitbucket 7.6.0 to 7.6.18
•    Bitbucket 7.7 to 7.16 (all versions)
•    Bitbucket 7.17.0 to 7.17.11
•    Bitbucket 7.18 to 7.20 (all versions)
•    Bitbucket 7.21.0 to 7.21.5

راه حل

چنانچه امکان ارتقا نسخه  Bitbucket وجود نداشت، یک راه حل مرتفع سازی موقت توسط شرکت Atlssian  ارائه گشته است که با غیر فعال کردن گزینه Allow public sign up از مسیر Administrator > Authentication اجازه ثبت نام عمومی برداشته می‌شود.
در خصوص Crowd نیز می توان از مسیر

 منبع

مقدمه
محققان Cyble اخیرا باج‌افزار جدیدی را به نام AXLocker کشف کرده‌اند که قادر است بسیاری از انواع فایل‌ها را رمزگذاری و غیرقابل استفاده کند.
جزئیات آسیب‌پذیری
باج‌افزار به عنوان یکی از سودآورترین خانواده بدافزار برای مهاجمان، به سرعت به یکی از مهم‌ترین انواع تهدیدات تبدیل شده است.
3 خانواده جدید بدافزار شناسایی شده‌اند که شامل موارد زیر است: 
•    AXLocker
•    Octocrypt
•    Alice Ransomware

مهاجمان پشت پرده باج‌افزار AXLocker، توکن‌های دیسکورد  و حساب‌های کاربری قربانیان را به سرقت می‌برند. پس از رمزگذاری فایل‌ها در کامپیوتر قربانی، یک یادداشت باج بر روی سیستم قربانی ظاهر می‌شود. این یادداشت دستورالعمل‌هایی در مورد چگونگی دستیابی به ابزار رمزگشایی به قربانی می‌دهد.
توکن‌های دیسکورد به سرقت رفته توسط هکرها می‌تواند برای اقدامات زیر استفاده شود:
•    ورود به عنوان کاربر
•    دستیابی به اطلاعات مربوط به حساب کاربری با صدور درخواست‌های API
باج‌افزار جدید AXLocker به عنوان یکی از پیچیده‌ترین بدافزارها شناخته شده است، چرا که همزمان با سرقت توکن‌های دیسکورد قربانیان خود، فایل‌های قربانیان را نیز رمزگذاری می‌کند.    
این باج‌افزار پس از اجرا، با فراخوانی تابعی به نام ()startencryption در سیستم قربانی، فایل‌ها را را رمزگذاری می‌کند و وجود آن را با تغییر ویژگی‌های این فایل‌ها، پنهان می‌کند.
 

تابع ()startencryption مسئول شمارش دایرکتوری‌های موجود در درایو C:/ و یافتن فایل‌های موجود در آنها با استفاده از کد موجود در تابع است. فرآیند رمزگذاری با جستجوی پسوندهای فایل قابل رمزگذاری و حذف فهرستی از دایرکتوری‌ها کنترل می‌شود.
 

به دنبال این مراحل، باج‌افزار تابع ProcessFile را فراخوانی می‌کند که پس از آن تابع EncryptFile اجرا شود. این تابع، فایل‌های سیستم قربانی را با استفاده از fileName به عنوان یک آرگومان رمزگذاری می‌کند.
الگوریتم AES توسط AXLocker هنگام رمزگذاری فایل‌ها استفاده می‌شود. با این حال، فایل‌های رمزگذاری شده هیچ پسوندی به نام فایل خود اضافه نمی‌کنند، بنابراین با همان نام‌های اصلی ظاهر می‌شوند.
سپس از یک webhook URL استفاده می‌کند که از طریق آن داده‌های زیر را به کانال دیسکوردی که تحت کنترل مهاجمان است ارسال کند:
•    آی‌دی قربانی
•    جزئیات سیستم
•    داده‌های ذخیره شده در مروگرها
•    توکن‌های دیسکورد
از جمله دایرکتوری‌هایی که توسط این بدافزار برای سرقت توکن‌های دیسکورد هدف قرار می‌گیرند، عبارتند از:

•    Discord\Local Storage\leveldb
•    discordcanary\Local Storage\leveldb
•    discordptb\leveldb
•    Opera Software\Opera Stable\Local Storage\leveldb
•    Google\Chrome\User Data\\Default\Local Storage\leveldb
•    BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
•    Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb

 محصولات تحت تأثیر
تمام نسخه‌های ویندوز تحت تاثیر این باج‌افزارهای جدید قرار می‌گیرند.
 توصیه‌های امنیتی
توجه به این نکته ضروری است که اگرچه این باج‌افزار عمداتا متوجه کاربران کامپیوترهای شخصی است، اما می‌تواند تهدیدی برای جوامع و شرکت‌های بزرگ نیز باشد. به کاربران توصیه می‌شود برای در امان ماندن از حملات این بدافزارها، توصیه‌های امنیتی ارائه شده توسط کارشناسان که در ادامه به آنها اشاره می‌شود را به کار گیرند:

•  پشتیبان‌گیری باید به طور منظم انجام گیرد.
• اطمینان حاصل شود که نسخه‌های پشتیبان در فضای ابری یا در یک شبکه جداگانه ذخیره شده‌اند.
• توصیه می‌شود در صورت امکان، به‌روزرسانی خودکار نرم‌افزار در کامپیوتر، تلفن همراه و سایر دستگاه‌های متصل فعال شود.
• دستگاه‌های متصل، مانند کامپیوتر، لپ‌تاپ و تلفن همراه، باید توسط یک نرم‌افزار آنتی ویروس معتبر محافظت شوند.
• از صحت پیوست‌ها و پیوندهای ایمیل قبل از باز کردن آنها اطمینان حاصل شود.
• دستگاه‌هایی که در یک شبکه آلوده هستند باید قطع شوند.
• اطمینان حاصل شود که دستگاه‌های ذخیره‌سازی خارجی در صورت اتصال، جدا شده‌اند.
• اطمینان حاصل شود که لاگ‌های سیستم برای فعالیت‌های مشکوک بررسی می‌شوند.

منابع خبر

https://gbhackers.com/attackers-use-new-ransomware-that-encrypts-files/

مقدمه

کارشناسان Rapid7 آسیب‌پذیری‌های مختلفی را در دستگاه‌های BIG-IP و BIG-IQ مشاهده کردند.

جزئیات آسیب‌پذیری

دو مورد از آسیب‌پذیری‌ها به عنوان آسیب‌پذیری‌های اجرای کد از راه دور با شدت بالا دسته‌بندی شده‌اند. آسیب‌پذیری اول با شناسه "CVE-2022-41622"، یک نقص اجرای کد از راه دور از طریق cross-site request forgery (CSRF) است که محصولات BIG-IP و BIG-IQ را تحت تاثیر قرار می‌دهد. در این مورد، حتی اگر رابط مدیریت دستگاه در معرض اینترنت نباشد، بهره‌برداری همچنان می‌تواند یک مهاجم از راه دور و احراز هویت نشده را قادر به دسترسی root کند.

مهاجم ممکن است کاربرانی که حداقل دارای نقش administrator هستند و از طریق احراز هویت اولیه در iControl SOAP احراز هویت شده‌اند را فریب دهد تا اقدامات مهمی را انجام دهند. مهاجم می‌تواند از این آسیب‌پذیری‌ تنها از طریق control plane بهره‌برداری کند نه از طریق data plane. اگر این آسیب‌پذیری مورد بهره‌برداری قرار بگیرد می‌تواند کل سیستم را به خطر بیندازد. بهره‌برداری از این نقص مستلزم آن است که مهاجم با شبکه هدف آشنا باشد و بتواند مدیری را که وارد سیستم شده است متقاعد کند تا از وب سایت مخربی که برای سوء استفاده طراحی شده است بازدید کند. اگر احراز هویت اولیه از طریق iControl SOAP  در مرورگر وب انجام شده باشد، نمی توان از این حمله جلوگیری کرد. این مکانیسم احراز هویت غیرمعمول است و با استفاده از صفحه ورود به سیستم برای ابزار Configuration متفاوت است.

دومین آسیب‌پذیری که شناسه "CVE-2022-41800" به آن اختصاص داده شده است، یک مهاجم با امتیازات administrative را قادر می‌سازد تا دستورات shell را از طریق فایل‌های مشخصات RPM اجرا کند. این مورد در حالت Appliance mode iControl REST وجود دارد و یک اجرای کد از راه دور از طریق تزریق مشخصات RPM است. یک کاربر احراز هویت شده با مجوزهای نقش Administrator می‌تواند محدودیت‌ها را در حالت Appliance دور بزند.

محصولات تحت تأثیر

محصولات BIG-IP و BIG-IQ را تحت تاثیر این آسیب‌پذیری‌ها قرار دارند.

توصیه‌های امنیتی

به توصیه شرکت F5، از احراز هویت اولیه در مرورگر وب استفاده نکنید. اگر popup احراز هویت در مرورگر را مشاهده کردید از وارد کردن اطلاعات ورود خود در آن اجتناب کنید.

این شرکت به کاربران توصیه می‌‌کند با محدود کردن دسترسی iControl REST تنها به شبکه یا دستگاه‌های قابل اعتماد، سطح تهدیدات ناشی از این آسیب‌پذیری را کاهش دهند.

منبع خبر

https://gbhackers.com/remote-code-execution-bug-in-f5/

در وب سرور Litespeed Technologies Openlitespeed آسیب پذیری تزریق فرمان با شناسه CVE-2022-0073 و آسیب پذیری مسیر جستجوی نامعتبر (Untrusted Search Path) با شناسه CVE-2022-0074  با شدت 8.8 از 10 و درجه خطر High (بالا) یافت شده است.
CVE-2022-0073 :
اعتبار سنجی نادرست ورودی در این وب سرور امکان تزریق فرمان (Command Injection) را میدهد. یک عامل تهدید که بتواند اعتبار داشبورد را به دست آورد، چه با حملات brute force یا مهندسی اجتماعی، می تواند از این آسیب پذیری برای اجرای کد روی سرور سوء استفاده کند. این آسیب‌پذیری در قسمت External App Command وجود دارد که به کاربران اجازه می‌دهد فرمانی را مشخص کنند تا هنگام راه‌اندازی سرور اجرا شود. این آسیب پذیری برروی نسخه‌های 1.7.0 قبل از 1.7.16.1 تاثیر می‌گذارد و برای جلوگیری از حملات احتمالی پیشنهاد میگردد تا نسخه‌های بالاتر بروزرسانی انجام شود.
CVE-2022-0074:
این آسیب پذیری تحت تأثیر آسیب پذیری دیگری از یک تابع ناشناخته از مولفه ی Web Server Container است. برنامه با استفاده از یک مسیر جستجوی ارائه شده خارجی که می تواند به منابعی اشاره کند که تحت کنترل مستقیم برنامه نیستند، منابع حیاتی را جستجو می کند. به عنوان یک تأثیر شناخته شده است که بر محرمانگی، یکپارچگی و در دسترس بودن تأثیر می گذارد. این آسیب پذیری برروی نسخه‌های 1.6.15 قبل از 1.7.16.1 تاثیر می‌گذارد و برای جلوگیری از حملات احتمالی پیشنهاد می‌گردد تا نسخه‌های بالاتر بروزرسانی انجام شود.

منابع

https://nvd.nist.gov/vuln/detail/CVE-2022-0074
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0073
https://nvd.nist.gov/vuln/detail/CVE-2022-0073

بنا بر گزارش منتشر شده در وب‌سایت رسمی Foxit، آسیب‌پذیری‌ها با درجه خطر بالا و  شناسه‌های  CVE-2022-32774، CVE-2022-32797،  CVE-2022-40129 و CVE-2022-37332 در موتور جاوا اسکریپت نرم افزارهایPDF Reader Foxit  کشف شده است. این آسیب‌پذیری‌ها use-after-free در موتور جاوا اسکریپت PDF Reader نرم‌افزار Foxit در نسخه 12.0.1.12430 وجود دارند که با ساخت سند PDF خاص می تواند باعث استفاده مجدد از حافظه آزاد شده قبلی شده و امکان اجرای کد دلخواه از راه دور شوند. در صورتی که کاربر از یک سایت مخرب بازدید کند، در صورتی که افزونه مرورگر فعال باشد، بهره برداری نیز امکان پذیر است.
ای آسیب‌پذیری‌ها در نسخه‌های پایین تر از 10.0.0.35798 ، 12.0.1.12430 وجود دارند. برای جلوگیری از حملات احتمالی پیشنهاد میگردد تا نسخه 12.0.2 بروزرسانی انجام شود.

 مراجع

بنا بر گزارش منتشر شده در وب‌سایت رسمی Splunk، آسیب‌پذیری با شدت 8.8 با شناسه CVE-2022-43571 در مولفه‌ی Dashboard PDF Generator، آسیب‌پذیری با شدت 8 با شناسه CVE-2022-43569 در مولفه‌ی Data Model Handler و آسیب‌پذیری با شدت 8.8 و شناسه CVE-2022-43570 در مولفه‌ی XML Handler مورد استفاده در Splunk Enterprise کشف شده است.

CVE-2022-43571 : این آسیب پذیری بر عملکرد بخشی از مولفه‌ی داشبورد ‌ PDF Generatorتاثیر می‌گذارد که دستکاری آن با یک ورودی ناشناخته از طریق اجرای کد دلخواه توسط یک کاربر تایید شده می‌تواند منجر به افزایش آسیب پذیری شود. این مشکل در قسمتی از نرم افزار وجود دارد که تمام یا بخشی از یک قطعه کد را با استفاده از ورودی خارجی از یک جزء بالادستی می سازد، اما عناصر خاصی را که می توانند نحوه یا رفتار بخش کد مورد نظر را تغییر دهند را خنثی سازی نمیکند یا به اشتباه خنثی سازی را انجام میدهد. این آسیب پذیری نسخه‌های 8.2.8 ، 8.1.11 ، 9.0.1 را تحت تاثیر خود قرار می دهد. برای جلوگیری از حمله احتمالی پیشنهاد میگردد تا نسخه‌های 8.1.12 , 8.2.9 , 9.0.2 و بالاتر بروزرسانی انجام شود.

CVE-2022-43569: این آسیب پذیری می‌تواند منجر به تحت تاثیر قرار گرفتن برخی از عملکردهای ناشناخته مؤلفه Data Model Handler شود و دستکاری از طریق ورودی ناشناس میتواند منجر به آسیب برنامه نویسی متقابل سایت شود. به این طریق که این نرم افزار قبل از خروجی دادن یک صفحه وب که برای سایر کاربران استفاده می شود، ورودی های قابل کنترل توسط کاربر را خنثی سازی نمی کند یا خنثی سازی را اشتباه انجام می‌دهد. این مشکل یکپارچگی سایت را تحت تاثیر قرار می‌دهد و از طریق آن یک مهاجم ممکن است بتواند کد html و اسکریپت دلخواه را به وب سایت تزریق کند که این امر باعث تغییر ظاهر سایت می‌شود و امکان انجام حملات از راه دور بیشتری را علیه بازدیدکنندگان سایت مهیا می‌سازد. در نسخه‌های پایین تر از 8.1.11 ، 8.2.8 ، 9.0.1 یک کاربر احراز هویت شده  اسکریپت‌های دلخواهش را تزریق و ذخیره کند همپنین می‌تواند منجر به اسکریپت‌نویسی متقابل سایت (XSS) در نام شی یک مدل داده شود. برای جلوگیری از حمله احتمالی پیشنهاد میگردد تا نسخه‌های 8.1.12 , 8.2.9 , 9.0.2 یا بالاتر بروزرسانی انجام شود.

CVE-2022-43570: این آسیب پذیری می‌تواند منجر به تحت تاثیر قرار گرفتن برخی از عملکردهای ناشناخته مؤلفه XML Handler شود و دستکاری از طریق ورودی ناشناس می‌تواند منجر به آسیب پذیری موجودیت خارجی xml شود. این آسیب پذیری می‌تواند منجر به تحت تاثیر قرار گرفتن برخی از عملکردهای ناشناخته مؤلفه XML Handler شود. همچنین دستکاری از طریق ورودی ناشناس می‌تواند منجر به آسیب پذیری موجودیت خارجی xml شود. به این طریق که نرم‌ افزار یک سند XML را پردازش می‌کند که می‌تواند حاوی موجودیت‌های XML با URIها باشد و با انتقال اسناد به خارج از حوزه کنترل مورد نظر و جای گیری اسناد نادرست در خروجی، موجب این امر شود. این آسیب پذیری باعث به خطر افتادن اطلاعات از نظر محرمانه بودن، یکپارچگی و دسترسی خواهد شد. در نسخه‌های پایین تر از 8.1.11 ، 8.2.8 ، 9.0.1 یک کاربر احراز هویت شده می‌تواند کد‌های XML را از طریق موجودیت خارجی (XXE) اجرا کند. تزریق XXE باعث می شود که Splunk Web اسناد نادرست را در یک خطا جاسازی کند و برای جلوگیری از حمله احتمالی پیشنهاد میگردد تا نسخه‌های 8.1.12 , 8.2.9 , 9.0.2 یا بالاتر بروزرسانی انجام شود.

مراجع

https://nvd.nist.gov/vuln/detail/CVE-2022-43571

https://research.splunk.com/application/b06b41d7-9570-4985-8137-0784f582a1b3/

https://nvd.nist.gov/vuln/detail/CVE-2022-43569

https://www.splunk.com/en_us/product-security/announcements/svd-2022-1109.html

https://nvd.nist.gov/vuln/detail/CVE-2022-43570#

https://www.splunk.com/en_us/product-security/announcements/svd-2022-1110.html

مقدمه

یک بدافزار بانکی به نام «Xenomorph» در یکی از نرم‌افزارهای ارائه شده درGoogle Play  کشف شد که اطلاعات بانکی و پیامک‌های ارسال شده برای کاربر را به سرقت می‌برد. نام نرم‌افزار آلوده به این بدافزار، Todo: Day manager,  می‌باشد و تا کنون بیش از 1000 مرتبه دانلود شده است.

جزئیات آسیب‌پذیری

این تروجان اطلاعات ورود را از برنامه‌های بانکی نصب شده بر روی دستگاه‌ کاربر به سرقت می‌برد. علاوه بر این، بدافزار مذکور، امکان دسترسی به رمز عبور یک‌بار مصرف و رمزهای احرازهویت چند عاملی را به مهاجم می‌دهد.

این نرم‌افزار هنگامی که برای اولین بار با اتصال به سرور Firebase راه‌اندازی می‌شود، URL پی‌لودِ بدافزار بانکی را دریافت می‌کند؛ سپس نمونه‌های بدافزار بانکی مخرب Xenomorph از Github دانلود می‌شوند. در مرحله بعدی، برای جستجوی دستورات بیشتر و گسترش اثرات مخرب، با استفاده از محتوای صفحه تلگرام یا یک کد ثابت، با سرورهای فرمان و کنترل (C2) ارتباط برقرار می‌کند. پس از اجرا، پی‌لود بانکی به صفحه تلگرام می‌رسد و محتوای میزبانی شده در آن صفحه را دانلود می‌کند. در تصویر زیر، چرخه عملکرد بدافزار مذکور را مشاهده می‌کنید.

گفتنی است در صورتی که یک برنامه مجاز در دستگاه آلوده نصب شده باشد، یک صفحه ورود جعلی که مربوط به برنامه بانکی هدفمند است، به قربانی نمایش داده می‌شود. اغلب ابزارهای فیشینگ، به فریب کاربران جهت نصب برنامه‌های مخرب متکی هستند.

توصیه‌های امنیتی

کاربران باید به برنامه‌هایی که بر روی دستگاه خود نصب می‌کنند، توجه داشته باشند و همچنین برنامهPlay Store نباید کاربران را مجبور به نصب نرم‌افزار از منابع نامعتبر کند. در نهایت باید گفت که آگاهی کاربر در خنثی کردن تاکتیک‌های مختلف فیشینگ بسیار حائز اهمیت می‌باشد.

منبع خبر

https://gbhackers.com/malware-spotted-on-the-google-play/

باج افزار جدیدی به نام Azov در فضای اینترنت در حال گسترش است و این باج افزار در فایل توضیحاتی که برروی سیستم قربانی قرار می‌دهد (RESTORE_FILES.txt) هیچ راه ارتباطی با خود را مشخص نکرده و تنها از قربانی می‌خواهد تا با ارتباط با محققان حوزه‌ی امنیت و خبرنگاران، باعث شهرت آنان به عنوان توسعه دهنده‌ی باج افزار شوند که در تصویر نشان داده شده است.
 

 هفته گذشته یکی از محققان امنیتی نیز با بررسی این باج افزار تاکید کرد که این بدافزار با گذشت زمان مشخصی پس از آلوده شدن، اقدام به تخریب اطلاعات قربانیان خواهد نمود.
 

بدافزار مذکور دارای یک دوره‌ی نهان بوده و باعث  شد تا پیش  از 27 اکتبر 2022 ساعت 10:14:30 صبح فعال نشود و هیچ یک از قربانیان از وجود آن آگاه نشوند. پس از شروع به کار این بدافزار، محتوای فایل‌ها در Chunk سایز‌های 666 بایتی بازنویسی می‌شود که باعث تخریب محتوای فایل‌ها می‌گردد. در هر سیکل دقیقا 666 بایت از محتوای فایل با مقادیر تصادفی باز نویسی می‌شود و 666 بایت بعدی دست نخورده کنار گذاشته می‌شود.
 این عمل در یک حلقه به صورت پیوسته تکرار می‌شود و ساختار فایل بعد از اجرای کامل این بدافزار به این صورت خواهد بود که 666 بایت داده‌های رندم، 666 بایت محتوای دست نخورده و اصلی، مجددا 666 بایت داده‌های رندم و... خواهد بود.

همچنین از سوی دیگر این بدافزار تمامی فایل‌های اجرایی که خارج از آدرس ذیل قرار داشته باشند را یا آلوده می‌کند ویا کد Backdoor درون آنان تزریق می‌کند.

:\Windows\ProgramData\cache2\entries\Low\Content.IE5\UserData\Default\Cache\Documents and Settings\All Users

زمانی که کد Backdoor درون یک فایل اجرایی تزریق شود، با هربار اجرای آن فایل آلوده این بدافزار نیز اجرا خواهد شد. همچنین لازم به ذکر است که هر دفعه Shellcode مربوط به Backdoor  درون یک فایل اجرایی تزریق می‌شود از encodeهای مختلفی استفاده می‌شود. این امر باعث می‌شود اگر در یک فایل دوبار تزریق صورت بگیرد، دو فایل مختلف ایجاد شود.

امروزه طراحان این بدافزار در حال گسترش آن از طریق شبکه‌ی Botnet به نام Smokeloader هستند که عموما این بدافزار در نرم افزارهای جعلی و کرک‌های نرم افزاری یافت می‌شود.

منابع

https://www.blackhatethicalhacking.com/news/azov-ransomware-is-a-wiper-destroying-data-666-bytes-at…
https://howtofix.guide/azov-virus/