با باتنت Kelihos آشنا شوید
دیگر زمان به کارگیری بدافزارهای ساده به سر رسیده است. امروزه بدافزارهایی که به صورت ترکیبی عمل کرده و یکدیگر را فراخوانی میکنند، به وفور در دنیای هکری مورد استفاده قرار میگیرند. در جدیدترین مورد باتنت Kelihos با تغییر رویکرد باجافزارهایی از خانواده Troldesh را توزیع میکند.
در میان باتنتهایی که امروزه در دنیای هکری مورد استفاده قرار میگیرند، Kelihos جزء معدود باتنتهایی است که نزدیک به هشت سال است از سوی هکرها مورد استفاده قرار میگیرد و هر بار کارشناسان امنیتی سعی کردهاند این باتنت را شکست دهند مغلوب شدهاند. کارشناسان حوزه امنیت در سپتامبر سال 2011 و مارس 2012 تلاش کردند این باتنت را شکست دهند، اما در هر دو مورد مغلوب شدند. در طول این سالها هکرها از باتنت فوق به شکلهای مختلف برای ارسال هرزنامهها و توزیع باجافزارهایی همچون MorsJoke و Wildfire سود بردند.
در مردادماه، کارشناسان امنیتی گزارش کردند که هکرها در تلاش هستند تا این باتنت را در کنار باتنتهای دیگر مورد استفاده قرار دهند. به طوری که به منظور توزیع باجافزارها و تروجانهای بانکی مورد استفاده قرار گیرد. باتنت Kelihos در یک اتفاق کم سابقه در یک شب موفق شد سه برابر رشد کرده و 34.533 دستگاه را آلوده سازد. در شهریورماه این باتنت شروع به توزیع تروجانهای بانکی NyMain، PandaZeus و Kronos کرد. اما در ماه جاری (آذرماه) کارشناسان گزارش کردند که این باتنت مجددا فرآیند توزیع باجافزارها را از سر گرفته است. در مکانیزم جدید Kelihos اسپمهایی که حاوی لینکهایی به یک فایل جاوااسکریپت و یک سند ورد است را به منظور توزیع باجافزار Troldesh برای کاربران مختلف ارسال کرد.
این اولین باری است که شاهد آن هستیم که باتنت فوق از فایلهای جاوااسکریپت به منظور آلوده کردن کاربران استفاده میکند. باجافزاری که این باتنت آنرا ارسال میکند، فایلهای کاربران را رمزگذاری کرده و فرمت فایلی آنها را no_more-ransom نامگذاری میکند. در مهرماه آزمایشگاه کسپرسکی، دپارتمان امنیتی اینتل و پلیس اتحادیه اروپا پروژهای موسوم به NoMoreRansom را پایهگذاری کردند تا به قربانیان باجافزارها کمک کنند. به همین دلیل هکرها تصمیم گرفتند نام فرمت فایلی خود را از پروژه این شرکتها اقتباس کرده و به نوعی این شرکتها را مورد تمسخر قرار دهند.
این باجافزار در حال حاضر ایمیلهایی که فرمت فایلی آنها au. است را هدف قرار میدهد. این باتنت همچنین ایمیلهای دوستیابی را برای کاربرانی که آدرس ایمیل آنها به .pl ختم میشود و ایمیلهای مالی را برای کاربرانی که آدرس ایمیل آنها .vs است، ارسال میکنند. این باتنت همچنین ایمیلهایی با موضوعات پزشکی برای کاربران سراسر جهان ارسال میکند. باجافزار Troldesh پیامهای هرزنامهای را تحت عنوان و تم کارتهای هدیه بانک امریکا برای کاربران ارسال میکند.
زمانی که کاربر فایل آلوده را باز میکند، باجافزار دانلود شده و رمزنگاری فایلها را آغاز میکند. در ادامه یادداشتی به زبان روسی و انگلیسی به کاربران نشان داده شده و به آنها نحوه پرداخت باج و نحوه ارتباط با هکرها را توضیح میدهد.
این باجافزار قادر به فراخوانی بدافزارهای دیگر بوده و از طریق سرور کنترل و فرماندهی آنها را خطدهی میکند. همچنین بدافزار روباینده اطلاعات Pony را برای سرقت گذرواژهها و اطلاعات حساس روی کامپیوتر قربانیان نصب میکند.
منبع شبکه