امنیت

January 10, 2024
9:06 چهارشنبه، 20ام دیماه 1402
کد خبر: 157486

نفوذ بدافزارBandook به سیستم‌عامل‌های ویندوز از طریق از فایل‌های PDF

منبع: ماهر

نسخه جدیدی از تروجان”Bandook” منتشر شده است که تلاش می‌کند از طریق حملات فیشینگ به سیستم‌های ویندوز نفوذ کند که نشان‌دهنده تکامل مداوم این نوع بدافزار است. این بدافزار از طریق یک فایل PDF که حاوی یک لینک به یک فایل 7z. با رمز عبور محافظت‌شده است، سیستم‌های ویندوزی را آلوده می‌کند.
پس از استخراج بدافزار از فایل PDF، با استفاده از یک رمز عبور، بدافزار کد خود را به فایل اجرایی msinfo32.exe تزریق می‌کند. سپس از سرور C2 برای برقراری ارتباط با سیستم استفاده می‌کند و دستورات و فرامین لازم برای اجرا بر روی سیستم قربانی را از سرور C2 دریافت می‌کند
این بدافزار، علاوه بر ایجاد تغییرات در رجیستری ویندوز، برای استقرار دائم در سیستم قربانی، ارتباط با یک سرور کنترل و فرمان(C2) برقرار می‌کند تا بارهای مفید و دستورات اضافی را دریافت کند.
اقدامات مخرب دیگر این بدافزار شامل مواردی نظیر تلاش برای دستکاری فایل‌ها و رجیستری، دانلود فایل‌های اضافی، سرقت اطلاعات، اجرای فایل‌ها، فراخوانی توابع از راه دور و از طریقDLL، کنترل کامپیوتر قربانی، قطع فرآیند‌های مشکوک و حذف خود از سیستم می‌شوند.

محصولات تحت تأثیر
این تروجان از طریق حملات فیشینگ با هدف نفوذ به سیستم‌های ویندوز گسترش یافته است.

توصیه‌های امنیتی
برای در امان ماندن از نفوذ بدافزار به سیستم‌ها، کاربران باید آگاهی داشته باشند که به دقت لینک‌ها و ضمیمه‌های ارسالی از منابع مشکوک را بررسی کنند و هرگونه درخواست اطلاعات حساس را تایید نکنند. استفاده از محصولات Fortinet نظیر FortiGate، FortiMail و FortiClient توصیه شده است. همچنین، سرویس FortiGuard CDR (content disarm and reconstruction) قادر است ماکروهای مخرب موجود در اسناد را غیرفعال‌سازی کند.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.