محققان نوع جدیدی از باجافزار DJvu به نام Xaro را کشف کردهاند که از طریق نرمافزارهای کرک شده منتشر میشود. این بدافزار یک بدافزار بارگذار است و در کنار بارگیری سایر بدافزارها، جهت سرقت اطلاعات و آلوده نمودن سیستمها کاربرد دارد. آلودگی به بدافزار جدید زمانی شروع میشود که کاربر فایل بایگانی install.7z را از یک منبع نامعتبر دانلود میکند که خود را سایت قانونی توزیعکننده نرمافزارهای رایگان معرفی میکند. پس از باز شدن فایل موردنظر با استفاده از Winrar، فایل install.exe اجرا و در ادامه بارگذار بدافزار دانلود میشود. در حالی که فایل هششده برای install.exe هنوز ناشناخته است، تجزیه و تحلیل sandbox نشان میدهد که این مورد یک نمونه از PrivateLoader است. پس از اجرا، باجافزار Xaro پسوند xaro. را به فایلهای رمزگذاری شده اضافه و سپس یک یادداشت باجخواهی به نام file_readme.txt ایجاد میکند.
محققان خاطرنشان کردند که مهاجمان از رویکرد موسوم به تفنگ شاتگان به عنوان بخشی از فرآیند آلوده-سازی جهت استقرار باجافزار استفاده نمودهاند. آنها به طور تصادفی ماشینهای آسیبپذیر را آلوده میکنند و از قربانیان باج میگیرند. علاوه بر باجافزار Xaro، این ارتباطات منجر به دانلود و اجرای انواع بدافزارهای دیگر مانند RedLine Stealer، Vidar، Amadey، Nymaim، XmRig و LummaStealer، شده است.
محصولات تحت تاثیر
اگرچه در گزارشها به صورت مشخص به نرمافزار یا سیستمعامل خاصی اشاره نشده است، اما به نظر میرسد هدف حمله جمعآوری و استخراج اطلاعات حساس برای اخاذی مضاعف است.
توصیههای امنیتی
در این حمله، مهاجمان از نرمافزارهای کرک شده یا جعلی به عنوان راهی جهت استقرار مخفیانه کدهای مخرب استفاده نمودهاند. از آنجایی که دامنه چنین خطراتی میتواند ویرانگر باشد، کاربران باید از دانلود نرم-افزار از منابع یا سایتهای غیرقابل اعتماد خودداری کنند. علاوه بر این، به سازمانها توصیه میشود جهت ایمن ماندن از گزند این تهدیدات، برنامهها یا سایتهای معتبر را در قالب یک لیست، به پرسنل خود ارائه دهند.
منبع خبر:
[1] https://cyware.com/news/djvu-ransomware-latest-variant-xaro-emerges-in-the-threat-landscape-0bcf9e4a
- 49