تخفیف چند مجوز
Threat Database Malware CommonMagic

CommonMagic

تا Mezo در Malware, Stealers
ترجمه به:
فارسی

محققان Infosec موفق به شناسایی یک کمپین حمله با استفاده از یک چارچوب بدافزار ناشناخته قبلی علیه سازمان‌هایی از بخش‌های کلیدی در اوکراین شده‌اند که به وضوح نشان می‌دهد که جنگ سایبری همچنان به عنوان بخشی از جنگ بازی می‌کند. سازمان‌های مورد نظر در بخش‌های دولتی، کشاورزی و حمل‌ونقل فعالیت می‌کنند و در مناطق دونتسک، لوگانسک و کریمه قرار دارند.

این حملات شامل یک چارچوب مدولار جدید به نام CommonMagic است که قبلاً دیده نشده بود. به نظر می‌رسد این چارچوب برای نفوذ و مختل کردن سازمان‌های هدف طراحی شده است که به طور بالقوه اطلاعات حساس را به خطر می‌اندازد و زیرساخت‌های حیاتی را مختل می‌کند. هنوز مشخص نیست که چه کسی مسئول این حملات است یا اهداف نهایی آنها ممکن است چیست. این وضعیت ادامه دارد و سازمان ها در مناطق آسیب دیده باید اقداماتی را برای ایمن سازی شبکه ها و سیستم های خود در برابر تهدیدات احتمالی انجام دهند.

یک زنجیره حمله پیچیده بدافزار CommonMagic را ارائه می دهد

به گفته محققان، بردار سازش اولیه دقیق مشخص نیست. با این حال، جزئیات مرحله بعدی حمله نشان می دهد که فیشینگ نیزه یا تکنیک های مشابه ممکن است توسط عوامل تهدید استفاده شود.

این حملات از یک الگوی خاص پیروی می کنند که در آن یک URL مخرب به قربانیان ارائه می شود و برای هدایت آنها به آرشیو ZIP میزبانی شده بر روی یک وب سرور در معرض خطر استفاده می شود. هنگامی که فایل ZIP تحویل داده شده باز می شود، حاوی یک سند فریبنده و یک فایل LNK مخرب است. در مرحله بعدی حمله، یک درب پشتی به نام PowerMagic بر روی دستگاه های شکسته شده مستقر می شود. درپشتی به مهاجم اجازه می دهد تا به رایانه قربانی دسترسی پیدا کند و فعالیت های مخرب مختلفی را انجام دهد، اما هدف اصلی آن واکشی و استقرار چارچوب بدافزار CommonMagic است که یک قطعه بسیار تخصصی تر از نرم افزار مخرب است.

CommonMagic - یک چارچوب تهدیدآمیز که قبلا دیده نشده بود

تمام قربانیانی که تحت تأثیر بدافزار PowerMagic قرار گرفته‌اند، به یک چارچوب مخرب بسیار پیچیده‌تر و پیچیده‌تر آلوده شده‌اند که CommonMagic نامیده می‌شود. CommonMagic شامل ماژول های اجرایی مختلفی است که همگی در دایرکتوری واقع در C:\ProgramData\CommonCommand ذخیره می شوند. هر ماژول به عنوان یک فایل اجرایی مستقل شروع می شود و از طریق لوله های نامگذاری شده با بقیه ارتباط برقرار می کند. ماژول ها به طور خاص برای ارتباط با سرور Command and Control (C&C)، رمزگذاری و رمزگشایی ترافیک C&C و انجام چندین عملیات مخرب طراحی شده اند.

دو مورد از ماژول‌هایی که تا به امروز کشف شده‌اند، مجهز به قابلیت گرفتن اسکرین‌شات در فواصل سه ثانیه‌ای و بازیابی فایل‌های مورد علاقه از هر دستگاه USB متصل هستند. این فریم ورک از پوشه های راه دور OneDrive برای انتقال داده ها استفاده می کند و هر داده ای که بین مهاجم و قربانی از طریق OneDrive رد و بدل می شود با استفاده از کتابخانه منبع باز RC5Simple رمزگذاری می شود.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
15,882
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...