הצעת הנחה מרובה רישיונות
מסד נתונים של איומים כלי ניהול מרחוק קמפיין תוכנות זדוניות כפולות

קמפיין תוכנות זדוניות כפולות

עד Mezo ב-כלי ניהול מרחוק, תוכנות פרסום
לתרגם ל:

קמפיין תוכנות זדוניות שנחשף לאחרונה מושך תשומת לב רבה בקהילת אבטחת הסייבר בשל יכולתו לפרוס שני איומים נפרדים בו זמנית. טוען ערום יחיד משמש להעברת ה-Gh0st RAT וה-CloverPlus לאותה מערכת פרוצה.

שילוב זה הוא גם נדיר וגם אסטרטגי ביותר. Gh0st RAT מאפשר שליטה מרחוק מלאה על המכונה הנגועה, בעוד ש-CloverPlus מתמקד במניפולציה של פעילות הדפדפן, הזרקת רכיבי פרסום ויצירת הכנסות באמצעות חלונות קופצים פולשניים. הפריסה הכפולה מאפשרת לגורמי איום לשמור על גישה בלתי מורשית מתמשכת תוך כדי ניצול רווחים מהזיהום בזמן אמת.

קמפיין זה מדגיש מגמה גוברת של אספקת מערכות מרובות מטענים, שבהן תוקפים ממקסמים את היעילות התפעולית והתשואה הכספית מפגיעה אחת.

טקטיקות ערפול: הסתרת המטען

הטוען שבליבת הקמפיין הזה תוכנן לביצוע חמקנות. הוא מטמיע שני מטענים מוצפנים בתוך מקטע המשאבים שלו, תוך שימוש בטכניקות ערפול כדי להתחמק ממנגנוני גילוי מסורתיים.

ההפעלה מתחילה עם מודול תוכנת הפרסום CloverPlus, המזוהה כ-AdWare.Win32.CloverPlus ומקושר לקובץ הרצה בשם wiseman.exe. רכיב זה משנה את הגדרות ההפעלה של הדפדפן ומזריק פרסומות קופצות מתמשכות.

לאחר מכן, הטוען מעריך את נתיב הביצוע שלו. אם הוא אינו פועל מתוך ספריית %temp% של המערכת, הוא יוצר עותק של עצמו שם לפני שהוא ממשיך. השלב הבא כולל פענוח של מודול הלקוח Gh0st RAT, אשר מוסתר גם הוא כמשאב מוצפן בתוך הקובץ הבינארי של תוכנות זדוניות.

לאחר הפענוח, הנוזקה מקצה שם קובץ אקראי למטען ומאחסנת אותו בתיקייה בעלת שם אקראי הממוקמת בשורש כונן C:\, מה שמסבך עוד יותר את הזיהוי והניתוח.

חיים מהאדמה: כלים מהימנים, כוונה זדונית

כדי להפעיל את המטען המפוענח, התוכנה הזדונית מנצלת את כלי השירות הלגיטימי של Windows rundll32.exe. גישה זו מאפשרת ביצוע קוד זדוני במסווה של תהליך מערכת מהימן, מה שמפחית משמעותית את הסבירות להפעלת הגנות אבטחה.

לאחר פעילותו, Gh0st RAT מתחיל ליצור פרופיל של המערכת הפגועה על ידי איסוף מזהים ייחודיים כגון כתובת MAC ומספר סידורי של הכונן הקשיח. פרטים אלה משמשים לרישום הקורבן בתשתית הפיקוד והבקרה של התוקף, מה שמבטיח מעקב וניהול מדויקים של מחשבי שרת נגועים.

מנגנוני התמדה: הבטחת גישה לטווח ארוך

שמירה על גישה לאחר אתחול המערכת היא מטרה מרכזית של קמפיין זה. Gh0st RAT משיג גישה עקבית באמצעות מספר טכניקות המוטמעות עמוק בתוך מערכת ההפעלה:

שינוי מפתח הרישום של Windows Run כדי להבטיח ביצוע אוטומטי בעת ההפעלה
רישום של קובץ DLL זדוני בתוך נתיב שירות הגישה מרחוק תחת SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

שיטות אלו מעניקות לתוכנה הזדונית הרשאות ברמת SYSTEM בכל פעם שהשירות המשויך מופעל, מה שמבטל את הצורך באינטראקציה נוספת עם המשתמש ומחזק את השליטה לטווח ארוך.

גילוי והגנה: אינדיקטורים לפשרה

להשפעת הקמפיין הזה יש השפעה ניכרת הן עבור יחידים והן עבור ארגונים. בעוד שרכיב הפרסום משבש את תפקוד הדפדפן ומגביר את החשיפה לפרסום זדוני, רכיב ה-RAT מאפשר גניבת נתונים, רישום הקשות מקשים, עקיפת אבטחה וגישה מועדפת מתמשכת.

על צוותי אבטחה להישאר ערניים ולנטר את הסימנים הבאים לפגיעה:

  • ביצוע rundll32.exe בעת טעינת קבצי DLL או סיומות קבצים לא סטנדרטיות מספריות חריגות או חשודות.
  • פעילות תהליך שמקורה בתיקייה %temp%
  • שינויים לא מורשים במפתחות הפעלה של הרישום או בתצורות שירות RemoteAccess
  • שימוש בעיכובים מבוססי פינג כדי להתחמק מזיהוי ארגז חול
  • דפוסי תעבורת DNS חריגים ושינויים בלתי צפויים בקובץ המארח של המערכת

ניטור פרואקטיבי ותגובה מהירה לאותות אלה הם קריטיים להפחתת הסיכונים הנשקפים מקמפיין תוכנות זדוניות מתוחכם זה, הכולל איום כפול.

מגמות

אישור הונאת דוא"ל בנושא עדכון פרטיות ואבטחה חדש

פישינג, ספאם
יש להתייחס תמיד בזהירות לאימיילים בלתי צפויים הדורשים פעולה דחופה. פושעי סייבר לעתים קרובות מסווים הודעות זדוניות כהודעות לגיטימיות כדי לנצל אמון ולעורר פאניקה. חשוב להבין שהונאות כמו אימיילים 'אשר עדכון אבטחה חדש לפרטיות' אינן קשורות לחברות, ארגונים או ישויות לגיטימיות, ללא קשר לכמה רשמיות הן עשויות להיראות. מבט מקרוב על הונאת 'עדכון אבטחת פרטיות' ניתוח אבטחה אישר כי הודעות אלה...

הכי נצפה

טוען...