مجوزهای چند دستگاه (تخفیف حجمی)
Threat Database Worms رزبری رابین

رزبری رابین

تا CagedTech در Worms, Malware
ترجمه به:
فارسی

یک بدافزار با قابلیت‌های کرم مانند در کمپین‌های حمله‌ای که بر سیستم‌های ویندوز تأثیر می‌گذارند استفاده می‌شود. این تهدید و مجموعه فعالیت های مرتبط با آن به عنوان Raspberry Robin و "کرم QNAP" توسط محققان امنیت سایبری ردیابی شده است. بر اساس گزارش های آنها، عملیات Raspberry Robin در سپتامبر 2021 مورد توجه قرار گرفت، اما بیشتر فعالیت ها در ژانویه 2022 و پس از آن انجام شد. قربانیان تهدید به عنوان شرکت هایی شناخته شده اند که در بخش های فناوری و تولید فعالیت می کنند، اما به طور بالقوه می توانند وجود داشته باشند. دیگران نیز باشند لازم به ذکر است که تاکنون اهداف بازیگران تهدید تایید نشده است.

بهره برداری از ابزارهای قانونی ویندوز

زنجیره عفونت Raspberry Robin با درایوهای قابل جابجایی آلوده مانند دستگاه های USB شروع می شود. این درایوها حاوی کرم Raspberry Robin در قالب یک فایل میانبر .lnk هستند که به عنوان یک پوشه قانونی پنهان شده است. این تهدید پس از اتصال درایو خراب به رایانه فعال می شود. از cmd.exe برای خواندن و سپس اجرای فایل موجود در درایو خارجی آلوده استفاده می کند. محققان دریافته‌اند که این فرمان بین تشخیص‌های مختلف Raspberry Robin سازگار است و می‌تواند به عنوان شاخصی از فعالیت‌های تهدیدآمیز انجام شده توسط کرم استفاده شود.

این بدافزار به عنوان بخشی از اقدامات خود، از مزیت‌های نرم‌افزاری قانونی ویندوز بهره می‌برد. از msiexec.exe (نصب کننده استاندارد مایکروسافت) برای واکشی و اجرای یک فایل DLL در معرض خطر، در کنار سایر بسته های نصب کننده قانونی، سوء استفاده می کند. اعتقاد بر این است که فایل DLL دارای عملکرد مرتبط با ماندگاری است و از دامنه فرمان و کنترل (C2, C&C) خراب گرفته شده است که احتمالاً روی دستگاه‌های QNAP در معرض خطر میزبانی می‌شود. فعالیت خروجی C2 منتسب به Raspberry Robin نیز با استفاده از فرآیندهای Windows regsvr32.exe، rundll32.exe و dllhost.exe مشاهده شده است. تلاش‌های اتصال شبکه خارجی به آدرس‌های IP در گره‌های TOR انجام شد.

Raspberry Robin همچنین msiexec.exe را مجبور می‌کند تا یک ابزار واقعی Window - fodhelper.exe را راه‌اندازی کند. این تهدید برای ایجاد rundll32.exe و شروع یک فرمان تهدید کننده به آن متکی است. عامل تهدید، fodhelper.exe را به دلیل توانایی آن در راه‌اندازی فرآیندهایی با امتیازات مدیریت بالا، بدون ایجاد فرمان کنترل حساب کاربری (UAC) انتخاب کرد.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
15,356
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...