۲
۰

نسخه جدید بدافزار Dridex توانست آنتی‌ویروس‌ها رو دور بزند

تاریخ انتشار
سه شنبه ۱۱ تير ۱۳۹۸ ساعت ۲۰:۴۸
نسخه جدید بدافزار Dridex توانست آنتی‌ویروس‌ها رو دور بزند

آی‌تی‌من- به گزارش مرکز افتا، به نقل از وب‌سایت ZDNet، بدافزار Dridex یک تروجان شناخته شده است که متخصص در سرقت اطلاعات احرازهویت بانکی است. این بدافزار که ابتدا در سال ۲۰۱۴ کشف شد، دارای توسعه‌دهندگان فعالی است که به طور مداوم در حال تکامل قابلیت‌ها و بردارهای حمله آن هستند.

در ماه ژانویه سال گذشته، پژوهشگران امنیتی دریافتند که Dridex زنجیره آلودگی خود را گسترش داده است و نه تنها کاربران را از طریق فیشینگ هدف قرار می‌دهد، بلکه از طریق FTPهای آسیب‌پذیر نیز گسترش می‌یابد.

در اویل ماه جاری نسخه جدیدی از این بدافزار کشف شده است که از تکنیک لیست سفید (Whitelisting) استفاده می‌کند تا عناصر Windows Script Host را مسدود کند. بدافزار با سو استفاده از محافظت‌های اجرایی ضعیف و سیاست‌های ابزار خط فرمان (WMI (WMIC، می‌تواند از اسکریپت‌های XLS برای دور زدن اقدامات امنیتی استفاده کند.

Dridex همچنین زیرساخت‌های کتابخانه خود را افزایش داده است. پژوهشگران امنیتی می‌گویند که فایل‌های DLL این بدافزار ۶۴ بیتی هستند (به همراه هش‌های SHA۲۵۶ مرتبط) که از نام فایل‌هایی که توسط ویندوز قابل اجرا هستند، استفاده می‌کنند. با این حال، نام فایل‌ها و هش‌ها مجدد تغییر می‌کنند و هر بار که قربانی وارد یک میزبان ویندوز آلوده می‌شود، تغییر می‌یابند. نحوه نفوذ این بدافزار از طریق اسناد مخرب در پیوست ایمیل‌های اسپم است.

نمونه‌ای که از این بدافزار در VirusTotal بارگذاری شده، تنها توسط ۶تا از ۶۰ برنامه ضدویروس به عنوان بدافزار شناسایی شده است. در تاریخ ۲۷ ژوئن (۶ تیر) این تعداد به عدد ۱۶ افزایش یافته است، اما با این حال باز هم تعدادی زیادی از نرم‌افزارهای ضدویرویس آن را شناسایی نمی‌کنند. 

نشانه‌های آلودگی (IoC):

دامنه
•    ssl-pert[.]com

نام فایل اجرایی
•    servern.exe

هش فایل اجرایی
•    ۰a۵c۶۹۴۴c۳۶۲۲a۳۰۳۸۰۳a۰۵۸f۸۵۳۰۴b۰

هش فایل سند مخرب
•    ۰۴۷e۱d۶۹۷۷۶۸۸۳۱a۰۵f۲c۸۳۳b۷fd۳e۲۵

 
کد مطلب : ۲۷۲۳۶۵
نظرات شما
سینا
United States
آنتی ویروس های سنتی ( نه قدیمی )

اشتباه ترجمه کردین

Traditional
مهدی زاده
United States
سلام دوست عزیز

تذکرتون کاملا بجا و درسته. منظور آنتی ویروس‌های سنتی بوده که به اشتباه «آنتی ویروس‌های قدیمی» ترجمه شده.

البته این رو هم عرض کنم که این مطلب ترجمه ما نیست و همونطور که ابتدای خبر هم ذکر شده، منبع (ترجمه) این مطلب «مرکز افتا» است.

از دقت و توجهتون سپاسگزاریم.
ارسال نظر
نام شما

آدرس ايميل شما