IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

هشدار توزیع بدافزار سرقت اطلاعات ZLoader در بیش از ۱۰۰ کشور

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir new zloader malware campaign 1
محققان نسبت به یک کمپین بدافزار جدید هشدار می‌دهند که تا بدین لحظه رمز عبور و اطلاعات کاربران را شامل بیش از ۲۰۰۰ قربانی در ۱۱۱ کشور در سراسر جهان به سرقت برده است.

بدافزار ZLoader یک تروجان بانکی شناخته شده است که از web injection برای سرقت کوکی‌ها، رمز‌های عبور و اطلاعات حساس استفاده می‌کند. این بدافزار همچنین با استقرار انواع باج‌افزار بدنام Conti و Ryuk نیز مرتبط شده است.

در گذشته، ZLoader از طریق کمپین‌های‌ ایمیل فیشینگ سنتی و سواستفاده از پلت‌فرم‌های تبلیغات آنلاین ارائه می‌شد؛ جایی که مهاجمان آگهی‌هایی را خریداری می‌کردند که به وب‌سایت‌هایی با ظواهر قانونی، میزبان بدافزار مورد نظرشان بودند.

طبق گزارش Check Point، کمپین جدید که به گروه جرایم سایبری Malsmoke نسبت داده می‌شود، با نصب یک برنامه مدیریت از راه دور قانونی از Atera شروع می‌شود که وانمود می‌کند یک نصب جاوا است.

این شرایط، امکان دسترسی کامل مهاجم را به سیستم مورد نظر فراهم می‌کند و آن‌ها را قادر می‌سازد تا فایل‌ها را آپلود و دانلود کنند و اسکریپت‌های اضافی را اجرا نمایند. یکی از این اسکریپت‌ها ظاهراً "mshta.exe" را با فایل "appContast.dll" به عنوان یک پارامتر اجرا می‌کند.
takian.ir new zloader malware campaign 2
اگرچه appContast.dll توسط مایکرؤسافت تأیید شده است، مهاجمان راهی برای سواستفاده از روش تأیید امضای دیجیتال آن شرکت برای اضافه کردن اطلاعات اضافی به فایل پیدا کرده‌اند. طبق گزارش چک پوینت، این اطلاعات بارگیری نهایی Zloader را دانلود و اجرا می‌کند.
takian.ir new zloader malware campaign 3
محقق بدافزار، کوبی آیزنکرأفت، توضیح داد که تیم Check Point برای اولین بار در ماه نوامبر این کمپین را مشاهده نموده است.

وی در ادامه افزود: «مردم باید بدانند که نمی‌توانند فوراً به تأیید دیجیتال یک فایل اعتماد کنند. چیزی که ما پیدا کردیم یک کمپین جدید ZLoader بود که از تأیید امضای دیجیتال مایکرؤسافت برای سرقت اطلاعات حساس کاربران سواستفاده می‌کند».

در مجموع، به نظر می‌رسد که طراحان کمپین ZLoader تلاش زیادی برای فرار از دفاع سیستم کاربران انجام داده‌اند و هنوز روش‌های خود را به صورت هفتگی به روز می‌کنند. قویا از کاربران خواسته شده است که بروزرسانی مایکروسافت را برای تأیید دقیق Authenticode اعمال کنند. این تأییدیه به طور پیش فرض اعمال نمی‌شود».

همچنین از کاربران خواسته شده است که برنامه‌ها را از منابع ناشناس نصب نکنند و روی لینک‌ها کلیک نکنند یا پیوست‌ها موجود در پیام‌ها و‌ایمیل‌های ناخواسته را باز نکنند.

برچسب ها: Authenticode, Malsmoke, web injection, Atera, campaign, ZLoader, کمپین, Conti, Trojan, Ryuk, cybersecurity, ویندوز, phishing, malware, ransomware , تروجان, مایکروسافت, فیشینگ, باج افزار, بدافزار, امنیت سایبری, Cyber Attacks, Bitcoin, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ ایمیل