امنیت

امینت

تلفن همراه

فناوری اطلاعات

November 11, 2023
10:31 شنبه، 20ام آبانماه 1402
کد خبر: 151486

انتشار سریع نسخه جدید بدافزار GootLoader

 
محققان IBM X-Force  نوع جدیدی از بدافزار GootLoader با نام GootBot را شناسایی کرده‌‌‌‌‌‌اند. این بدافزار جدید، به سرعت منتشر شده و سسیستم‌های زیادی را آلوده می‌کند و به سادگی نیز قابل شناسایی نیست.
 
براساس اعلام محققان IBM X-Force، گروه GootLoader بات اختصاصی خود را به منظور جلوگیری از شناسایی در آخرین مرحله حملات، در زمان استفاده از ابزارهایی C2 نظیر CobaltStrike یا RDP ارائه کرده است. GootBot امکان انتشار سریع در شبکه را به مهاجمان می‌‌‌‌‌‌دهد. بدافزار GootLoader به مهاجمان اجازه می‌دهد تا پس از جذب قربانیان به کمک راه‌‌‌‌‌‌کارهای SEO، بدافزار مرحله بعدی را برروی سیستم آنها دانلود نماید. این بدافزار با عامل مخرب Hive0127 (معروف به UNC2565) مرتبط است.
 
GootBot به یک تغییر تاکتیکی اشاره می‌کند که هدف آن دانلود یک محتوای بدافزاری، پس از آلوده‌‌‌‌‌‌شدن توسط GootLoader است. این بدافزار شامل یک اسکریپت مبهم PowerShell است و هدف آن اتصال به یک سایت وردپرس، جهت فرمان و کنترل و دریافت دستورات بیشتر است. نکته مهم در این میان استفاده از سرور C2 با کدنویسی سخت (hard-coded) و منحصر به فرد برای هر نمونه GootBot است که مسدود کردن ترافیک مخرب را دشوار می‌‌‌‌‌‌کند.
 
بدافزار GootBot هر 60 ثانیه یک بار اطلاعات را به سرور C2 خود ارسال می‌کند تا دستورات جدید PowerShell را برای اجرا دریافت کند و نتایج اجرا را در قالب درخواست‌های HTTP POST به سرور منتقل کند.
بدافزار GootLoader از راهکارهای SEO برای آلوده کردن سیستم‌های هدف استفاده می‌‌‌‌‌‌کند. در این شرایط کاربر در سایت‌‌‌‌‌‌های به ظاهر معتبر و قانونی، اقدام به پر کردن فرم‌‌‌‌‌‌هایی می‌‌‌‌‌‌کند و سپس پیامی به کاربر نشان داده می‌‌‌‌‌‌شود تا یک نسخه آرشیوی از اطلاعات ثبت شده را دانلود کند. این آرشیو با یک کد جاوا اسکریپت آلوده شده است.
 
کشف GootBot نشان از عمق پیشرفت مهاجمان برای گریز از شناسایی و انجام اقدامات مخفیانه دارد. بنابراین کاربران باید در ورود به سایت‌‌‌‌‌‌ها و ثبت اطلاعات خود و سپس دانلود نسخه‌‌‌‌‌‌های آرشیوی از اطلاعات ثبت شده، دقت لازم را داشته باشند. به روزرسانی نرم‌‌‌‌‌‌افزارهای امنیتی جهت بررسی امنیتی فایل‌‌‌‌‌‌های دانلود شده و محدودسازی اجرای کدهای جاوا اسکریپت در مرورگرها، در جلوگیری از حملات این بدافزارها موثر است.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.