הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית GHOSTFORM RAT

GHOSTFORM RAT

עד Mezo ב-תוכנה זדונית, כלי ניהול מרחוק
לתרגם ל:

GHOSTFORM הוא טרויאני גישה מרחוק (RAT) מבוסס .NET שנועד לשלב מספר יכולות זדוניות לתוך קובץ בינארי יחיד להרצה. הנוזקה מבצעת סקריפטים של PowerShell ישירות בזיכרון, מה שמפחית את הסבירות לגילוי על ידי כלי אבטחה מסורתיים. כדי להתחמק עוד יותר ממנגנוני אבטחה, היא משתמשת בטכניקות כגון טפסי Windows בלתי נראים וטיימרי ביצוע מושהים. בשל התנהגותה החשאית ויכולותיה הנרחבות, כל זיהוי של GHOSTFORM אמור להפעיל הליכי הסרה ותגובה לאירועים באופן מיידי.

שרשרת התקפה ראשונה: פריסת תוכנות זדוניות רב-שלביות

שרשרת ההתקפה הראשונה מתחילה במסירת ארכיון RAR המוגן בסיסמה המכיל יישום מזויף שנועד לדמות ל-WinRAR. כאשר הקורבן פותח את הארכיון, מופעל תוכנת שחרור המכונה SPLITDROP. תוכנת שחרור זו מתקינה שני רכיבי תוכנה זדונית נוספים: TWINTASK ו-TWINTALK.

SPLITDROP מבקש בתחילה סיסמה מהקורבן על מנת לחלץ ארכיון מוסתר. אם הארכיון כבר קיים במערכת, הביצוע נעצר. אחרת, ה-dropper מפענח מטען מוטמע ברקע תוך הצגת הודעת שגיאה מטעה למשתמש. התוכן המפוענח מאוחסן בספרייה 'C:\ProgramData\PolGuid', ולאחר מכן מופעל קובץ הרצה לגיטימי בשם VLC.exe כדי לקדם את ההתקפה.

לאחר ההפעלה, VLC.exe טוען ספריית קישורים דינמית זדונית בשם TWINTASK באמצעות טעינת DLL בצד. רכיב זה ממתין להוראות מהתוקף ומבצע אותן באמצעות PowerShell. מספר פקודות משמשות במיוחד כדי ליצור שמירה על המערכת ולהתחיל את השלב הבא של הפריצה. כחלק מתהליך זה, סקריפט מפעיל את WingetUI.exe ויוצר ערכי רישום המבטיחים שגם VLC.exe וגם WingetUI.exe יפעלו אוטומטית בכל פעם שהמערכת מופעלת מחדש.

TWINTALK ו-TWINTASK: ביצוע פיקוד מתואם

כאשר WingetUI.exe מופעל, הוא טוען מודול זדוני נוסף המכונה TWINTALK. רכיב זה מתחבר לשרת הפיקוד והבקרה של התוקף ומאחזר הוראות. TWINTALK פועל יחד עם TWINTASK כדי לבצע פקודות במחשב הפגוע.

TWINTALK תומך בשלוש קטגוריות פקודות עיקריות:

  • ביצוע פקודה על המכשיר הנגוע
  • הורדת קובץ מהתשתית של התוקף
  • העלאת קבצים מהמערכת הפגועה לתוקף

באמצעות יכולות אלו, תוקפים משיגים שליטה נרחבת על הסביבה הנגועה.

שרשרת התקפה שתיים: ביצוע ישיר של GHOSTFORM

שרשרת ההתקפה השנייה משתמשת ב-GHOSTFORM עצמה כדי לבצע את כל הפונקציות המטופלות על ידי רכיבים מרובים בשרשרת הראשונה. במקום לפרוס מספר קבצים או להסתמך על טעינת DLL בצד, גרסה זו מבצעת פקודות PowerShell ישירות בזיכרון.

כדי להישאר בלתי מזוהה, הנוזקה יוצרת טופס Windows בלתי נראה שמעכב את הביצוע לפני שהמטען פועל. בנוסף, הקמפיין משתמש בטפסי Google כחלק מפיתוי הנדסה חברתית כדי לעודד קורבנות ליזום את הפעילות הזדונית.

טכניקות התחמקות והתמדה

GHOSTFORM משלבת מנגנונים מרובים שנועדו להפחית את הגילוי ולשמור על גישה ארוכת טווח למערכות פרוצות. התוכנה הזדונית מעכבת במכוון את פעילותה על ידי יצירת טופס Windows כמעט בלתי נראה שמפעיל טיימר עם השהייה שנקבעה באופן אקראי לפני המשך הביצוע.

זה גם יוצר mutex כדי להבטיח שרק מופע אחד של הנוזקה יפעל במערכת ומייצר מזהה בוט ייחודי למעקב אחר מכונות נגועות. סוסים טרויאניים לגישה מרחוק מסוג זה משמשים בדרך כלל לפריסת מטענים נוספים, גניבת נתונים וקבצים רגישים או ביצוע פעולות זדוניות אחרות בתוך סביבת הקורבן.

יכולות מפתח הקשורות בדרך כלל לקמפיין כוללות:

  • פריסת מטעני תוכנה זדונית נוספים
  • גניבת מידע וקבצים ממכשירים נגועים
  • ביצוע פקודה מרחוק באמצעות PowerShell
  • התמדה ארוכת טווח בתוך מערכות פגועות

הנדסה חברתית של ClickFix: וקטור זיהום ממוקד אנושי

הקמפיין אינו מסתמך אך ורק על העברת תוכנות זדוניות. הוא גם משלב טכניקת הנדסה חברתית המכונה ClickFix כדי לפגוע במערכות. תוקפים יוצרים דפי אינטרנט מזויפים ומשכנעים שנועדו לתמרן משתמשים ולגרום להם לבצע פקודות זדוניות.

דוגמאות לכך כוללות הזמנות מזויפות לפגישות Cisco Webex או טפסי אינטרנט מזויפים שנראים לגיטימיים. הקורבנות מתבקשים להפעיל פקודות שמורידות ומפעילות תוכנות זדוניות באופן אוטומטי, ובכך יוזמות את הפגיעה מבלי דעת.

שילוב של תוכנות זדוניות והונאה

קמפיין זה מדגים גישה מתואמת המשלבת פריסה טכנית של תוכנות זדוניות עם מניפולציה פסיכולוגית. תוקפים מפיצים קבצים זדוניים במסווה של תוכנות לא מזיקות הדומות לתוכניות WinRAR. כאשר הקבצים נפתחים, הם מזריקים רכיבי תוכנה זדונית נסתרים למערכת ההפעלה.

לאחר ההתקנה, אחד הרכיבים פועל בשקט ברקע, בודק מעת לעת את שרת התוקף לאיתור הוראות מוצפנות ומבצע אותן באמצעות PowerShell. במקביל, התקפות בסגנון ClickFix מסתמכות על סקרים מזויפים, הזמנות לפגישות מטעות או טפסים מקוונים הונאה כדי לשכנע משתמשים לבצע פקודות שמפעילות הורדות תוכנות זדוניות.

על ידי שילוב של כלי תוכנה זדונית מתקדמים כגון TWINTASK, TWINTALK ו-GHOSTFORM עם טכניקות הנדסה חברתית שתוכננו בקפידה, גורמי איום מגדילים משמעותית את שיעור ההצלחה של פריצות למערכות ושומרים על שליטה מרחוק מתמשכת על מכשירים נגועים.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
21,503
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...