انتقال چندین Payload توسط بدافزار چندمرحلهای Rietspoof
نرمافزار مخرب Rietspoof یک خانواده بدافزاری جدید است که از سیستم انتقال چندمرحلهای استفاده میکند و به گونهای طراحی شده تا چندین payload را در سیستمهایی که آلوده میکند، بارگذاری کند.
به گزارش دیپروتد، به نقل از وبسایت BleepingComputer، اولین مشاهده این بدافزار، در تابستان ۲۰۱۸ بوده است. این بدافزار از چندین مرحله برای نفوذ به اهداف خود استفاده میکند. هر یک از این مراحل قابلیتهای بخصوصی دارند، یکی از آنها نوعی بات است که قابلیت دانلود/آپلود فایلها، آغاز فرآیندهای پردازشی و یا اجرای تابع خودتخریب را دارد و دیگری مانند یک دانلودکننده معمولی عمل میکند. همچنین، در حالی که بدافزار بصورت ماهانه در ابتدا بروزرسانی میشد، از ژانویه ۲۰۱۹، سرعت توسعه آن افزایش یافته و بصورت روزانه تکامل یافته است.
دادهها نشان میدهند که مرحله اول حمله توسط سرویسگیرندههای پیامرسانها، مانند Skype یا Messenger، منتقل میشود. از طریق پیام، یک اسکریپت Visual Basic مبهمسازی شده با ابزار مرحله دوم یعنی یک فایل CAB رمزگذاری شده منتقل میشود. فایل CAB به یک فایل اجرایی گسترش مییابد که در ادامه این فایل اجرایی در مرحله ۴ یک دانلودکننده نصب میکند.
با این حال، قبل از رسیدن به مرحله سوم و چهارم،Rietspoof با اضافه کردن WindowsUpdate.lnk به پوشه راهاندازی ویندوز که پس از هر بار راهاندازی مجدد، یک باینری Portable Executable یا فایل اجرایی قابل حمل گسترده را اجرا میکند، از حضور دائمی خود در سیستم اطمینان حاصل میکند .
در مرحله سوم Rietspoof، باتهایی بارگذاری میشوند که توسط سازندگان بدافزار برای شروع پردازشها در دستگاههای آسیبدیده، دانلود و آپلود فایلها و ارسال فرمان خود تخریب استفاده میشود. در حالی که خود payload باتها از قابلیتهای غیرعادی برخوردار نیست، سرور فرمان و کنترلی (C&C) که به آن وصل میشود دارای ویژگیهای غیرمعمول است. به عنوان مثال، سرور C&C قابلیت تعیین محدوده جغرافیایی (Geofencing) پایه بر اساس آدرس IP را دارد.
مرحله چهارم و آخرین مرحله به عنوان یک دانلودکننده بدافزار عمل خواهد کرد و تلاش خواهد کرد یک کانال معتبر از طریق پروتکل NTLM روی TCP با سرور C&C خود، ایجاد کند. پس از آنكه دانلودکننده موفق به برقراري ارتباط با سرور C&C ميشود، سعي ميكند آخرين payload يا يك مرحله ديگر بدافزار را دریافتکند.
هنوز هدف اصلی، قربانیان و زنجیره آلودگی دقیق Rietspoof، شناسایی نشده است، اما عاملان تهدید پشت این بدافزار، در حال افزایش سرعت توسعه و گسترش آن و افزودن ویژگیهای جدید و بروزرسانی و بهبود هر یک از ویژگیهای موجود هستند.
منبع :
مطالب مرتبط
جستجو در سایت
استارت آپ ها

صدور تاییدیه دانش بنیانی شتابدهنده صدر فردا
اخبار / استارت آپ

اپلیکیشن شارژاپ
گوناگون / استارت آپ / رپرتاژ آگهی / بازتاب

جذابترین ایدههای B2B در سال 2020
استارت آپ

تعریف استارت آپ startup
دانشنامه / استارت آپ / مقاله

۱۰ استارتاپ که بدون سرمایه به سوددهی رسیدند
استارت آپ

ایده ها و پیشنهاد برای استارت آپ در سال جدید
راهکارها و ترفند ها / استارت آپ

استارتآپ ایرانی؛ مرجع اول زنان افغان
استارت آپ

شروع یک کسب و کار نوپا پلتفرمی
استارت آپ

برنامه شبکه اجتماعی تیندر
گوناگون / معرفی وب سایت / استارت آپ

10 استارت آپ برتر تاکسیرانی جهان
استارت آپ
سبک زندگی
تبلیغات
تگ ها
رویدادهای گذشته
درباره ما
مجله اینترنتی دیپروتد نشریه مجازی بر بستر اینترنت به مسائل آموزشی و مقالات پیرامون کسب وکار های نوپا یا استارت آپ ها و سبک زندگی است فعالیت و محتوای مطالب ارائه شده در سایت همه بیشتر در حوزه مدیریت، کارآفرینی ، روانشناسی ،اقتصادی و فناوری اطلاعات است نام اصلی دیپروتد "ریشه های عمیق " با مجوز رسمی از هیات نظارت برمطبوعات مشغول به فعالیت است
ما را در شبکه های اجتماعی دنبال کنید
تمامی حقوق برای سایت فوق محفوط است.
S-TECH: فناوری نوین سیلک | Powered by: مجله اینترنتی دیپروتد