به گزارش خبرنگار حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، به نقل از پایگاه اینترنتی ZDNet، این حملات توسط تیم نرمافزار ضدویروس ویندوز به نام Windows Defender ATP شناسایی شده است. حملات زمانی نمایان شدند که میزان استفاده از ابزار خط فرمان مدیریتی ویندوز (WMIC) به طور ناگهانی افزایش یافت. این ابزار قانونی در تمامی نسخههای مدرن ویندوز وجود دارد، اما افزایش ناگهانی در استفاده از آن بیانگر یک الگوی خاص حمله بدافزاری است.
در این حملات سایبری یک عملیات اسپم گسترده مشاهده شد که در ایمیلهای ارسالی یک لینک به یک فایل میانبر LNK وجود داشت. زمانی که کاربر این فایل را دانلود و اجرا کند، ابزار WMIC اجرا خواهد شد و سپس دامنه گستردهای از ابزارهای قانونی ویندوز، یکی پس از دیگری اجرا میشوند. این ابزارها کدهای اضافی را اجرا میکنند و خروجی یک ابزار به ابزار دیگر منتقل میشود که هر فرایند به تنهایی در حافظه و بدون ذخیرهسازی هیچ فایلی انجام میشود. به این فرایند، اجرای بدون فایل گفته میشود که این کار شناسایی بدافزار توسط راهکارهای امنیتی سنتی را مشکل میکند، زیرا هیچ فایلی در سیستم وجود ندارد که مورد اسکن ضدویروس قرار گیرد.
در انتهای فرایند آلودهسازی، تروجان Astaroth دانلود و اجرا میشود. این تروجان یک سارق اطلاعات شناخته شده است که میتواند اطلاعات احرازهویت تعداد زیادی از برنامهها را دریافت و به یک سرور راه دور ارسال کند. Astaroth اولین بار در سال ۲۰۱۸ شناسایی شد. همچنین تکنیک استفاده شده در این تروجان، در سه سال گذشته مورد توجه توسعهدهندگان بدافزارها قرار گرفته است. افزایش استفاده از تکنیکهای مخفی مانند اجرای بدون فایل، توسعه راهکارهای ضدویروس را از حالت سنتی شناسایی امضای فایل به رویکرد مبتنی بر رفتار تغییر میدهد.
منبع : باشگاه خبرنگاران
درباره این سایت