جهت ورود به تالار گفتمان سایت کلیک کنید


با بات‌نت‌ Kelihos آشنا شوید

دیگر زمان به کارگیری بدافزارهای ساده به سر رسیده است. امروزه بدافزارهایی که به صورت ترکیبی عمل کرده و یکدیگر را فراخوانی‌ می‌کنند، به وفور در دنیای هکری مورد استفاده قرار می‌گیرند. در جدیدترین مورد بات‌نت Kelihos با تغییر رویکرد باج‌افزارهایی از خانواده Troldesh را توزیع می‌کند.

 

با بات‌نت‌ Kelihos آشنا شوید

در میان بات‌نت‌هایی که امروزه در دنیای هکری مورد استفاده قرار می‌گیرند، Kelihos جزء معدود بات‌نت‌هایی است که نزدیک به هشت سال است از سوی هکرها مورد استفاده قرار می‌گیرد و هر بار کارشناسان امنیتی سعی کرده‌اند این بات‌نت را شکست دهند مغلوب شده‌اند. کارشناسان حوزه امنیت در سپتامبر سال 2011 و مارس 2012 تلاش کردند این بات‌نت را شکست دهند، اما در هر دو مورد مغلوب شدند. در طول این سال‌ها هکرها از بات‌نت فوق به شکل‌‌های مختلف برای ارسال هرزنامه‌ها و توزیع باج‌افزارهایی همچون MorsJoke و Wildfire سود بردند.

در مردادماه، کارشناسان امنیتی گزارش کردند که هکرها در تلاش هستند تا این بات‌نت را در کنار بات‌نت‌های دیگر مورد استفاده قرار دهند. به طوری که به منظور توزیع باج‌افزارها و تروجان‌های بانکی مورد استفاده قرار گیرد. بات‌نت Kelihos در یک اتفاق کم سابقه در یک شب موفق شد سه برابر رشد کرده و 34.533 دستگاه را آلوده سازد. در شهریورماه این بات‌نت شروع به توزیع تروجان‌های بانکی NyMain، PandaZeus و Kronos کرد. اما در ماه جاری (آذرماه) کارشناسان گزارش کردند که این بات‌نت مجددا فرآیند توزیع باج‌افزارها را از سر گرفته است. در مکانیزم جدید Kelihos اسپم‌هایی که حاوی لینک‌هایی به یک فایل جاوااسکریپت و یک سند ورد است را به منظور توزیع باج‌افزار Troldesh برای کاربران مختلف ارسال کرد.

با بات‌نت‌ Kelihos آشنا شوید2

این اولین باری است که شاهد آن هستیم که بات‌نت فوق از فایل‌های جاوااسکریپت به منظور آلوده کردن کاربران استفاده می‌کند. باج‌افزاری که این بات‌نت آن‌را ارسال می‌کند، فایل‌های کاربران را رمزگذاری کرده و فرمت فایلی آن‌ها را no_more-ransom نام‌گذاری می‌کند. در مهرماه آزمایشگاه کسپرسکی، دپارتمان امنیتی اینتل و پلیس اتحادیه اروپا پروژه‌ای موسوم به NoMoreRansom را پایه‌گذاری کردند تا به قربانیان باج‌افزارها کمک کنند. به همین دلیل هکرها تصمیم گرفتند نام فرمت فایلی خود را از پروژه این شرکت‌ها اقتباس کرده و به نوعی این شرکت‌ها را مورد تمسخر قرار دهند.

 

این باج‌افزار در حال حاضر ایمیل‌هایی که فرمت‌ فایلی آن‌ها au. است را هدف قرار می‌دهد. این بات‌نت همچنین ایمیل‌های دوست‌یابی را برای کاربرانی که آدرس ایمیل آن‌ها به .pl ختم می‌شود و ایمیل‌های مالی را برای کاربرانی که آدرس ایمیل آن‌ها .vs است، ارسال می‌کنند. این بات‌نت همچنین ایمیل‌هایی با موضوعات پزشکی برای کاربران سراسر جهان ارسال می‌کند. باج‌افزار Troldesh پیام‌های هرزنامه‌ای را تحت عنوان و تم کارت‌های هدیه بانک امریکا برای کاربران ارسال می‌کند.

زمانی که کاربر فایل آلوده را باز می‌کند، باج‌افزار دانلود شده و رمزنگاری فایل‌ها را آغاز می‌کند. در ادامه یادداشتی به زبان روسی و انگلیسی به کاربران نشان داده شده و به آن‌ها نحوه پرداخت باج و نحوه ارتباط با هکرها را توضیح می‌دهد.

این باج‌افزار قادر به فراخوانی بدافزارهای دیگر بوده و از طریق سرور کنترل و فرمان‌دهی آن‌ها را خط‌دهی می‌کند. همچنین بدافزار روباینده اطلاعات Pony را برای سرقت گذرواژه‌ها و اطلاعات حساس روی کامپیوتر قربانیان نصب می‌کند.

منبع شبکه

جهت تبادل گفتگو و حل مشکلات در باره این موضوع , کلیک کنید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *