تاریخ ایجاد
این نمونه بدافزار، جاسوسافزاری است که اخیراً در دامنهای منسوب به ایران مشاهده شده است. هدف این جاسوسافزار، سرقت و جاسوسی اطلاعات کاربر شامل حسابهای کاربری، رمزهای عبور، اطلاعات صفحات وب، نامههای الکترونیک و غیره است. مبدا اصلی این جاسوسافزار یک فایل اکسل آلوده با نام catalog-list و چکیده sha256 (304c6f454f0efca218002c12009518c27e63186dd5de57b652cf2d4d14c7f0) است که حاوی ماکروهایی به زبان ویژوال بیسیک و مبهمسازی شده است. در صورتی که در سیستم قربانی امکان اجرای ماکروها فعال باشد، پس از باز کردن فایل اکسل، پردازه Powershell اجرا و فرمان نشان داده شده در شکل 1 اجرا میشود که مسئول دانلود فایل quote.exe از آدرس 185.165.29.49 است.
- 3