محققان امنیت سایبری از Outpost24's KrakenLabs یک کمپین بدافزار جدید و کاملاً منحصر به فرد را مشاهده کردند که به نظر می رسد کمیت را بر کیفیت ارجحیت می دهد.
معمولاً وقتی هکرها دستگاهی را به خطر میاندازند، یک بدافزار را به کار میگیرند و تمام تلاش خود را میکنند که دیده نشده و پایدار بماند، زیرا از رایانه برای هر هدف نهایی استفاده میکنند.
اما این کمپین جدید که Unfurling Hemlock نام دارد، دقیقا برعکس عمل می کند و آن را در دنیای جرایم سایبری متمایز می کند. محققان می گویند زمانی که قربانی بدافزار اجرایی را راه اندازی می کند - در این مورد "EXTRACT.EXE" نامیده می شود - تعداد انگشت شماری از بدافزارهای مختلف، دزدهای اطلاعاتی و فایل های اجرایی بات نت را دریافت می کنند.
بمب خوشه ای بدافزار
احتمال اینکه بدافزار توسط راهحلهای امنیت سایبری شناسایی شود، زیاد است، اما محققان معتقدند مهاجمان امیدوارند حداقل برخی از محمولهها از پاکسازی جان سالم به در ببرند. از جمله مواردی که روی دستگاهها حذف شدهاند عبارتند از: Redline (سرقتکننده اطلاعات محبوب)، RisePro (یک سرقت اطلاعاتی آینده)، Mystic Stealer (دزدیدن بدافزار بهعنوان سرویس)، Amadey (لودر)، SmokeLoader (لودر دیگر)، Protection Disabler (یک ابزار مفید). که Windows Defender و سایر ویژگی های امنیتی را غیرفعال می کند، Enigma Packer (ابزار مبهم سازی)، Healer (راه حل ضد امنیتی) و Performance Checker (ابزاری که عملکرد اجرای بدافزار را تحلیل و ثبت می کند).
محققان گفتند که این «بمب خوشهای بدافزار» برای اولین بار در فوریه 2024 مشاهده شد و ادعا کردند که بیش از 50000 فایل بمب خوشهای را دیدهاند که همگی دارای آپشن های منحصربهفردی هستند که آنها را به Unfurling Hemlock مرتبط میکند.
KrakenLabs نمی تواند با اطمینان کامل بگوید که بازیگران تهدید کننده پشت Unfurling Hemlock چه کسانی هستند، اما آنها نسبتاً مطمئن هستند که منشاء اروپای شرقی هستند. برخی از شواهد حاکی از آن، استفاده از زبان روسی در برخی از نمونهها و استفاده از سیستم خودمختار 203727 است که مربوط به سرویس میزبانی معمولاً گروههای جرایم سایبری در منطقه است.
خوشبختانه بدافزاری که از طریق این کمپین تحت فشار قرار می گیرد، شناخته شده است و اکثر برنامه های آنتی ویروس معتبر آن را علامت گذاری می کنند.
از طریق Bleeping Computer
ارسال نظر