يكشنبه 28 مهر 1398   01:16:36
 

انتقال تروجان NetWire توسط بدافزار WiryJMPer





یک منتقل کننده بدافزار جدید کشف شده است که رایانه‌ها را توسط یک payload مخرب با نام Netwire آلوده می‌کند.

این payload در دو فایل اجرایی مخرب مخفی شده است و با استفاده از مبهم‌سازی، نرم‌افزارهای ضدبدافزار را دور می‌زند.

این منتقل‌کننده WiryJMPer نام دارد که توسط پژوهشگران Avast کشف شده است. payload منتقل شده NetWire است که با نام‌های Recam یا NetWireRC نیز شناخته می‌شود. NetWire یک تروجان با دسترسی از راه دور (RAT) است که از سال ۲۰۱۲ بطور گسترده مورد استفاده قرار گرفته و قابلیت‌های کنترل از راه دور را دارد. تمرکز این payload بر روی کلیدنگاری و سرقت گذرواژه است تا برای مهاجمان امکان دسترسی غیرمجاز و کنترل از راه دور رایانه‌های قربانیان را فراهم کند.

در ابتدا بنظر می‌رسد که WiryJMPer یک فایل اجرایی WinBin۲Iso (برنامه‌ای برای تبدیل CD/DVD/Blu-ray به فایل‌های ISO) باشد، اما حجم آن بیش از سه برابر حالت عادی است. باینری دوم که بدافزار از آن برای پنهان شدن استفاده می‌کند، کیف پول الکترونیکی ABBC Coin، یک رمزارز مبتنی بر زنجیره بلوکی، است.

نکته قابل توجه درباره این بدافزار، نحوه مبهم‌سازی غیرمعمول آن است. نوع مبهم‌سازی بدافزار باعث شده است تا شناسایی آن در VirusTotal با نرخ پایینی انجام شود و از ۶۶ مورد، تنها ۶ مورد آن شناسایی شده است. تلاش برای کسب پایداری این بدافزار در سیستم قربانی با کپی کردن فایل باینری اصلی در آدرس APPDATA%\abbcdriver.exe% و ایجاد میانبر آن در پوشه Startup انجام می‌شود.

 

نشانه‌های آلودگی (IoC):

هش‌ها:

   ۰۴a۹۲a۷e۱۷۱b۵۸۳c۴۰cee۹d۲۷۶۰b۲۰fa۸۳۲۴e۴۵f۳۹۳۸f۷d۴۱f۴۸۰۶۵۸۲۹۱۰۳ebd
•    ۰۶۳۱ace۵۶۲e۰۷۷۸۱۴c۷۷۸۸b۹fe۱۰c۸۶۵۵۷۹a۲۹cf۱۸۰۶۵۴۶۵۸f۳۰ab۳۸۳۸۷a۱۳e۳
•    ۱۲۵cf۶b۰۱deb۸۶df۱۶e۰۹۶۱۰۲۱a۵۷b۲۸۱۷۷b۸efedc۶bf۴f۶۱۷bef۹۴۰cf۴b۹d۷۴
•    ۴a۳d۳e۸۵d۰۹۰۷۴ed۱e۱de۵e۴۸c۹۷c۴e۴۲fbcb۳cfb۴۴b۲۱۳c۰۲۲۴ffb۱۹۱dcd۱c۲
•    ۴b۷bd۸۵۸۱b۸۵bb۳۳d۴۷۴۸aaeda۶a۳e۵ec۸f۹۳۰۷۵۱۶۸۸ffb۶۸۵۴۵۲۲۴۱۱f۳ad۲۷۵
•    ۶daa۱ff۰۳fdbbb۵۸b۱f۴۱d۲f۷dc۵۵۰ee۹۷fc۵b۹۵۷۲۵۲b۷f۱۷۰۳c۸۱c۵۰b۳d۴۰۶f
•    ۶e۱cfde۵۲۷۸d۰۳c۶df۲۰۴d۸۴۵d۱۶۵۶۷۳df۸۹cfd۰۴۷f۴eda۹۷۸۱۶ee۳۵۱۱۱۵a۶۵۲
•    ۷۴۷۷۱۵۹۷۹۷a۷f۰۶e۳c۱۵۳۶۶۲bfef۶۲۴d۰۵۶e۶۴b۵۵۲f۴۵۵fe۵۳e۸۰f۰afb۰a۱۸۶۰
•    ۸۱۷۴۰ad۶a۳f۰e۵c۱۶۹۸۱۳۲۵۲۴e۰d۴b۲۳b۴f۴۷۷۳۷۶۱bca۶۸fdaef۳۳۷۴۸ef۲۹۹e۳
•    ۸۸۰de۷e۶۴c۰۶۷۸a۳۸ef۶۹۶۴b۶ff۲f۴۸e۴۲۶۴۴۹۴۲۶b۵۸a۵۱۶۵۵۶۲۸۵۴۲۱c۲۲۳۳۷۴
•    d۱۴۵۷c۲۳۸b۹۹ca۸۹۰۴۶۹۳۵۵۱f۹۲۳۱۰acae۵۶۱c۶۸c۲۰a۸caafe۳۳۹۱d۹۲۷d۷۶۱۸e
•    ea۸۵۵c۲b۵۳۴۱۹dcd۸۱e۶۷۷۵۲۰d۴e۵۵d۴۱cb۵ce۲۹۳۳f۵۵۰edd۶۵۲۰cce۱۵da۹۳fc
•    f۱۹۶۳b۴۴a۹c۸۸۷f۰۲f۶e۹۵۷۴aea۸۶۳۹۷۴be۵۷a۰۳۳۶۰۰۰۴۷b۸e۰۹۱۱f۹dbcb۹۹۱۴


 

منبع:

https://www.bleepingcomputer.com/news/security/new-wiryjmper-dropper-hides-netwire-rat-payloads-in-plain-sight/




کلمات کليدي
 
امتیاز دهی
 
 

تعداد بازديد اين صفحه: 32609
تعداد بازديد کنندگان سايت: 150519160 تعداد بازديد زيرپورتال: 33381 اين زيرپورتال امروز: 13 سایت در امروز: 1352 اين صفحه امروز: 4
کلیه حقوق این سایت متعلق به وزارت نفت جمهوری اسلامی ایران میباشد.
استفاده از اطلاعات این سایت با ذکر منبع بلامانع است.
Best View in 1024x768