فا

‫ اخبار

صفحات: 1 2 3 4 5 ... » »»
نتایج جستجو براساس برچسب: «گزارشات تحلیلی»
ایجاد‌کننده اطلاع‌رسانی‌ها

اوایل سال 2020 میلادی اخباری مبنی بر حمله بدافزاری با ویژگی Wiper# (پاک کننده) به تأسیسات نفت و انرژی کشور عربستان در فضای سایبری منتشر شد. براساس شواهد موجود و تحقیقات صورت‌گرفته توسط محققان امنیتی، بدافزار Dustman# که از آن به عنوان سلاحی برای جنگ سایبری یاد می‌شود، شباهت بسیار زیادی به بدافزار ZeroCleare دارد که اوایل سپتامبر 2019 میلادی مشاهده شد. این شباهت‎ها شامل فایل اصلی ایجاد شده درون سیستم، الگوی رفتاری مشابه، Key License یکسان برای فایل اصلی و هدف سیاسی مشابه دو بدافزار می‌باشد. تحلیل پیش رو مربوط به نسخه منتشر شده بدافزار Dustman در تاریخ 29 دسامبر 2019 میلادی می‌باشد.

دانلود پیوست

دیروز، 10:25 برچسب‌ها: گزارشات تحلیلی
بررسی تروجان Milum

حمله #WildPressure نهادهای مرتبط با صنعت را در خاورمیانه هدف قرار می‌دهد. در آگوست 2019 آزمایشگاه Kaspersky، کمپین مخربی که یک تروجان کاملاً فرّار C++ به نام Milum منتشر می‌کرد را کشف کرد. همه قربانیان ثبت شده این تروجان، سازمان‌های واقع در خاورمیانه بودند. برخی از آنها به بخش صنعت مرتبط بودند. موتور اختصاصی تهدید Kaspersky هیچ شباهت کدی با کمپین‌های شناخته شده مشاهده نکرده است؛ و تا کنون اهداف مشابهی یافت نشده است. در واقع سه نمونه یکسان در یک کشور اتفاق افتاده است. بنابراین ما حملات را هدف قرار داده و در حال حاضر این عملیات را WildPressure نام‌گذاری کرده‌ایم. زمان همه حملات مارس 2019 می‌باشد. در واقع تا قبل از 31 مه 2019 هیچگونه آلودگی ثبت نشده است، بنابراین به نظر نمی‌رسد که تاریخ جعل شده باشد. در این کمپین، اپراتورها از OVH اجاره‌ای و سرورهای خصوصی مجازی Netzbetrieb و یک دامنه ثبت شده توسط سرویس پروکسی ناشناس استفاده می‌کنند.

دانلود پیوست

دیروز، 10:18 برچسب‌ها: اخبار, گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫باج_افزار_pysa به عنوان جدیدترین باج افزار شناسایی شده است. محققان امنیت سایبری متوجه شدند این تهدید متعلق به خانواده Mespinoza Ransomware می باشد. اکثر باج افزارها به شیوه ای یکسان عمل میکنند آنها به یک سیستم هدفمند نفوذ می کنند، داده ها را رمزنگاری می کنند و سپس از قربانی می خواهند برای دریافت کلید رمزنگشایی باج پرداخت کنند . که قرار هست پرونده های اسیب دیده را باز کنند. بیشتر اوقات، نویسندگان باج افزار مبلغ سنگین و به ندرت چندین صد دلار درخواست می کنند.
ابن باج افزار فایل های رمزنگاری شده را غیر قابل دسترس می کند و حتی restore points و shadow copies را نیز حذف می کند تا کاربر نتواند فایل ها را بازیابی کند. کاربران انکلیسی زبان را هدف قرار داده است و با این حال، تقریبا در کل کره زمین منتشر شده است. این ویروس از اول دسامبر 2019 فعال شد و تنها در مدت چند روز موفق به نفوذ بسیار از رایانه های کشورهای مختلف شد.

دانلود گزارش تحلیلی

دیروز، 10:14 برچسب‌ها: گزارشات تحلیلی
بدافزار TrickMo

بدافزار TrickBot احراز هویت دو مرحله‌ای را در خدمات بانکی اینترنتی از طریق موبایل دور می‌زند. نویسندگان بدافزار در پشت پرده تروجان بانکی TrickBot یک نرم‌افزار اندرویدی ایجاد کرده‌اند که می‌تواند کد احراز هویت یک بار مصرف ارسال شده توسط پیامک یا ارسال اعلان‌ (ایمن‌تر) به مشتریان بانکی اینترنتی را قطع کرده و عملیات کلاهبرداری خود را تکمیل کند.
این برنامه اندرویدی که توسط محققان IBM X-Force، TrickMo نامیده شده، در حال توسعه است و منحصراً کاربران آلمانی که سیستم آنها قبلاً به بدافزار TrickBot آلوده شده‌اند را هدف گرفته است. به گفته محققان IBM، هنگامی که TrickBot اولین بار در سال 2016 پدیدار شد، آلمان یکی از اولین موارد حمله بود. در سال 2020، به نظر می‌رسد که کلاهبرداری گسترده بانکی TrickBot یک پروژه در حال انجام است که به مهاجمان کمک می‌کند تا از حساب‌های در معرض خطر، درآمد کسب کنند.
نام TrickMo اشاره مستقیمی به یک نوع مشابه بدافزار بانکی اندروید به نام ZitMo دارد که در سال 2011 توسط گروه مجرمان سایبری Zeus برای از کار انداختن سیستم احراز هویت دو مرحله‌ای از طریق پیامک توسعه یافته بود.
روش‌های تکامل یا رشد قابلیت‌های تروجان بانکی برای ارائه انواع دیگر بدافزارها اصلاح شده است؛ از جمله سرقت اطلاعات توسط باج افزار Ryuk، سرقت کیف پول‌های بیت‌کوین و دریافت ایمیل‌ها و اعتبارنامه‌ها.

1 سواءستفاده از قابلیت دسترسی اندروید برای Hijack کردن کدهای OTP
این مسئله ابتدا در سپتامبر گذشته توسط گروه CERT-Bund مشاهده شد. بدافزار TrickMo پس از نصب نرم‌افزار در دستگاه اندرویدی قربانی، طیف گسترده‌ای از اعداد احراز هویت معاملات بانکی (TAN)، شامل گذرواژه یکبار مصرف (OTP)، TAN موبایلی (mTAN) و کدهای احراز هویت pushTAN را قطع می‌کند.
مشاور گروه CERT-Bund در ادامه اظهار داشت كه سیستم‌های ویندوز آلوده شده توسط TrickBot از حملات man-in-the-browser برای یافتن شماره تلفن همراه و انواع دستگاه‌های آنلاین بانکی، به منظور واداشتن آنها برای نصب یک برنامه امنیتی جعلی (که TrickMo نام دارد) استفاده می‌کند

یافتن اطلاعات دستگاه‌های آنلاین بانکی
اما با توجه به تهدیدات امنیتی ناشی از احراز هویت مبتنی بر پیام کوتاه (پیام‌ها می‌توانند توسط برنامه‌های شخص ثالث سرکش به راحتی hijack شوند و همچنین نسبت به حملات SIM-swapping آسیب‌پذیر هستند)، از این پس بانک‌ها به طور فزاینده از ارسال اعلان برای کاربران که حاوی جزییات عملیات و شماره TAN هستند استفاده خواهند کرد.
بدافزار TrickMo برای رفع مشکل نگهداری اعلان‌های برنامه، از قابلیت دسترسی اندروید سوءاستفاده کرده و می‌تواند از صفحه برنامه ‌فیلم ضبط کند، داده‌های نمایش داده شده روی صفحه را پاک کند، بر برنامه‌های در
حال اجرا نظارت کرده و حتی خود را به عنوان نرم‌افزار دریافت پیامک پیش‌فرض تنظیم کند، همچنین می‌تواند از حذف برنامه توسط کاربران دستگاه‌های آلوده جلوگیری کند.
1 طیف گسترده‌ ویژگی‌ها
پس از نصب، TrickMo قادر است با ایجاد تعامل با دستگاه یا دریافت پیامک جدید پایدار شود. علاوه بر این، با ایجاد یک مکانیسم تنظیمات دقیق به یک مهاجم از راه دور اجازه می‌دهد با صدور دستوراتی با استفاده از سرور C2 یا یک پیامک، ویژگی‌های خاص را روشن یا خاموش کند (به طور مثال مجوزهای دسترسی، وضعیت ضبط، وضعیت نرم‌افزار دریافت پیامک).
هنگامی که بدافزار در حال اجراست، طیف گسترده‌ای از اطلاعات را بدست می‌آورد، شامل:

  • اطلاعات شخصی دستگاه
  • پیامک‌ها
  • ضبط برنامه‌های هدف برای رمزعبور یک بار مصرف (TAN)
  • تصاویر

این بدافزار برای جلوگیری از بدگمانی هنگام سرقت کدهای TAN، قفل صفحه را فعال کرده و از این طریق از دسترسی کاربران به دستگاه‌های هدف خود جلوگیری میکند؛ در واقع، از یک صفحه به‌روزرسانی اندرویدی جعلی برای پنهان کردن عملیات سرقت OTP استفاده می‌کند. در نهایت این کار با عملکردهای خود تخریبی و حذف انجام می‌شود و به گروه مجرمان سایبری اجازه می‌دهد تا با استفاده از TrickMo، پس از یک عملیات موفقیت‌آمیز ردپای حضور خود را از یک دستگاه پاک کنند.
گزینه kill نیز می‌تواند توسط پیامک فعال شود، اما محققان IBM دریافتند که امکان رمزگشایی دستورات پیامکی رمزشده با استفاده از یک کلید خصوصی RSA کدنویسی شده و تعبیه شده در کد منبع وجود دارد، بدین ترتیب امکان تولید کلید عمومی و ایجاد پیامک می‌تواند ویژگی خود تخریبی را ایجاد کند. همچنین این مسئله به این معناست که بدافزار می‌تواند از طریق پیامک از راه دور حذف شود. فرض می‌شود که نسخه بعدی برنامه می‌تواند استفاده از رشته‌های کلید رمزگذاری شده برای رمزگشایی را اصلاح کند.
محققان IBM به این نتیجه رسیدند که تروجان TrickBot یکی از فعال‌ترین انواع بدافزار بانکی در عرصه فضای مجازی در سال 2019 بود. طبق تحقیقات، TrickMo به منظور کمک به TrickBot در تخریب جدیدترین روش‌های احراز هویت مبتنی بر TAN طراحی شده است. یکی از مهمترین ویژگی‌هایTrickMo قدرت ضبط برنامه است؛ این همان چیزی است که به TrickBot توانایی غلبه بر اعتبار سنجی‌های جدید برنامه pushTAN که توسط بانک‌ها گسترش یافته را می‌دهد.

10 فروردین 1399 برچسب‌ها: اخبار, گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

اخیراً مهاجمان برای اجرای خودکار یک بدافزار دانلود کننده به نام #Ostap که پیش‌تر به‌کارگیری آن توسط بدافزار Trickbot مشاهده شده بود، از Remote Desktop ActiveX Control در ویندوز 10 و مستندات ورد استفاده می‌کنند. ویژگی Remote Desktop ActiveX Control به مایکروسافت اجازه می‌دهد تا مرتباً سیستم عامل را برای محافظت هر چه بیشتر از سیستم به‌روزرسانی کند؛ اما در این حمله از این ویژگی برای اجرا ماکروهای مخرب که حاوی بدافزار دانلودکننده‌ی Ostap هستند، استفاده شده است. در این گزارش به بررسی عملکرد این بدافزار می‌پردازیم.
1 آغاز کار با فیشینگ
بدافزار دانلود کننده Ostap، از طریق مستند word آلوده به کد ماکرو و حاوی تصویری که رمزنگاری شده است، کاربران را به سمت فعال کردن ماکرو در مستند ورد سوق می‌دهند. فایل ورد مخرب از طریق ایمیل‌های فیشینگ به دست قربانی می‌رسد. شکل زیر نمونه ایمیل فیشینگ به همراه فایل ورد مخرب پیوست شده به آن را نشان می‌دهد.

دانلود پیوست

19 اسفند 1398 برچسب‌ها: گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

اهداف مالی، همواره یکی از محرک های جدی برای مجرمان سایبری بوده است و همچنین همواره مهاجمان برای استخراج رمزارزها، اقدام به سوءاستفاده از قدرت محاسباتی سیستم های کاربران و سرورها کرده اند. استخراج رمزارزها از جمله روش هایی است که منجر به تولید آسان و بدون ریسک پول می شود؛ از این رو بدافزارهای استخراج کننده روی دستگاه ها در حال افزایش و روش ها و تکنیک های مورد استفاده برای این کار، در حال پیشرفت هستند. در این گزارش به بررسی یك بدافزار جدید برای استخراج رمزارزها به نام Lemon_Duck می پردازیم که از اکسپلویت Eternalblue برای انتشار در شبكه استفاده می کند.

دانلود پیوست

19 اسفند 1398 برچسب‌ها: گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

اخیرا محققان یک آسیب پذیری بحرانی در مودم های کابلی پیدا کرده اند که ممکن است صدها میلیون مودم را در سراسر جهان تحت تاثیر قرار دهد. این آسیب پذیری مربوط به سیستم های روی یک تراشه Broadcom است که در بسیاری از مودم های کابلی مورد استفاده قرار می گیرد، به ویژه در نرم افزارهایی برای مقاومت در برابر افزایش قدرت سیگنال، تحلیلگر spectrum را اجرا می کنند. در ادامه به بررسی بیشتر این آسیب پذیری خواهیم پرداخت.

دانلود پیوست

19 اسفند 1398 برچسب‌ها: گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

بدافزار جدید Mozartکه دستورات را گرفته و ترافیک را با استفاده از DNS پنهان می‌کند.

یک بدافزار دربِ‌پشتی جدید به نام #Mozart با استفاده از پروتکل DNS با مهاجمین از راه دور ارتباط برقرار می‌کند تا از شناسایی‌شدن توسط نرم‌افزارهای امنیتی و سیستم‌های تشخیص نفوذ، جلوگیری کند.
معمولاً وقتی یک بدافزار برای دریافت دستوراتی که باید اجرا شود با سرور ارتباط می‌گیرد، این کار را با استفاده از پروتکل‌های HTTP/S برای سهولت استفاده و ارتباط انجام می‌دهد.
با این وجود، استفاده از ارتباط HTTP/S برای برقراری ارتباط، اشکالاتی دارد، زیرا نرم‌افزارهای امنیتی معمولاً ترافیک را برای فعالیت‌های مخرب نظارت می‌کنند. در صورت شناسایی توسط نرم‌افزار امنیتی، اتصال و بدافزاری که درخواست HTTP/S را دارد، مسدود می‌کند.
در دربِ‌پشتی جدید Mozart که توسط MalwareHunterTeam کشف شده است، این بدافزار از DNS برای دریافت دستورالعمل از مهاجمین و جلوگیری از شناسایی‌شدن، استفاده می‌کند.

دانلود پیوست

12 اسفند 1398 برچسب‌ها: گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

یک #‫تروجان با دسترسی از راه دور (RAT) به نام #Parallax به طور گسترده در حال توزیع از طریق کمپین های مخرب اسپم می باشد. هنگامی که یک سیستم ویندوزی به این تروجان آلوده شود مهاجم می تواند کنترل کامل آن سیستم را در دست بگیرد.
مهاجم از این بدافزار برای دسترسی به سیستم قربانی استفاده می کند تا به نام کاربری و رمزهای عبور ذخیره شده در سیستم دسترسی پیدا کند و همچنین بتواند دستورات دلخواه خود را اجرا کند سپس از این اطلاعاتی که جمع آوری کرده است میتواند برای سرقت هویت قربانی، دسترسی به حساب های بانکی و توزیع بیشتر این تروجان استفاده کند.
یک محقق امنیتی MalwareHunterTeam از دسامبر سال 2019 نمونه هایی از تروجان Parallax را ردیابی کرده است.

دانلود گزارش تحلیلی

4 اسفند 1398 برچسب‌ها: گزارشات تحلیلی
حملات فعال به بیش از یک میلیون سایت وردپرسی از طریق آسیب‌پذیری افزونه Duplicator

یک #‫آسیب‌پذیری بحرانی با درجه حساسیت مهم در یکی از معروف‌ترین افزونه‌های وردپرسی به نام Duplicator یافت شده است. بیش از یک میلیون سایت وردپرسی تحت تاثیر این آسیب‌پذیری که به مهاجم اجازه‌ی دانلود فایل دلخواه از وب‌سایت قربانی را می‌دهد، قرار دارند. در این گزارش به بررسی قطعات کد آسیب‌پذیر، اهمیت آن و جزییات حملات در حال انجام توسط این آسیب‌پذیری می‌پردازیم.

دانلود پیوست

4 اسفند 1398 برچسب‌ها: گزارشات تحلیلی, اخبار
صفحات: 1 2 3 4 5 ... » »»