یک پویش فیشینگ جدید که نسخهی Jsocket از بدافزار Adwind (که AlienSpy نیز نامیده میشود) را توزیع میکند در ماه اکتبر شناسایی شد و همچنان در حال فعالیت است. بدافزار Adwind و نسخههای مختلف آن حداقل از سال ۲۰۱۲ میلادی شناسایی شدهاند. این بدافزار یک درب پشتی است که میتواند روی چندین بستر اجرا شده و چند بدافزار دیگر را نیز نصب کند، و به فعالیتهایی مثل سرقت اطلاعات، ثبت کلیدهای فشردهشده، ثبت صفحهی نمایش، ضبط ویدئو و صدا بپردازد و پیکربندیهای خود را بهروزرسانی کند.
آزمایشگاه کسپرسکی این بدافزار را اینگونه تعریف میکند: «این بدافزار به صورت علنی و در قالب یک سرویس پرداختی توزیع میشود، و مشتریان در ازای استفاده از این برنامهی مخرب هزینه پرداخت میکنند. تا آخر سال ۲۰۱۵ میلادی این سامانه حدود ۱۸۰۰ نفر کاربر داشت. این مسأله باعث شده است که این بدافزار به یکی از بزرگترین بسترهای بدافزار موجود تا امروز تبدیل شود.»
پویش کنونی توسط یک شرکت آگاهی امنیتی به نام KnowBe۴ شناسایی شده و توسط مدیرعامل این شرکت، Stu Sjowerman، از طریق یک پست وبلاگی گزارش شده است. شرکت KnowBe۴ یک برنامه در اختیار مشتریان خود قرار داده است که از طریق آن میتوانند هنگامیکه یک رایانامه ی مشکوک دریافت کردند با کلیک بر روی آن هم KnowBe۴ و هم گروه امنیتی این شرکت را مطلع کنند.
پژوهشگر امنیتی، Sjowerman، نوشت: «در اوایل ماه اکتبر ما متوجه شدیم که تعداد رایانامههای فیشینگ گزارششده توسط مشتریان که حاوی ضمیمههایی با پسوند .JAR (جاوا) هستند، افزایش یافته است. رایانامههای فیشینگ با چنین ضمیمههای نشانهای از بدافزار Adwind هستند.» مسألهی ناامیدکننده این است که اندازهی این پویش جدید مشخص نیست، زیرا شرکت KnowBe۴ اطلاعات خود را عمدتا از طریق مشتریانی که برنامهی این شرکت را نصب کردهاند، به دست آورده است.
با این حال، با اینکه بدافزار Adwind به عنوان یک سرویس فروخته میشود، اما همچنین میتواند در هر زمانی بهوسیلهی یک پویش بزرگ جدید یا حتی توسط چندین مجرم سایبری با استفاده از پیکربندیهای متفاوت با قابلیتهای متفاوت توزیع شود. در فوریهی سال ۲۰۱۶ میلادی آزمایشگاه کسپرسکی تخمین زد که تا پایان سال ۲۰۱۵ میلادی تقریبا ۴۴۳ هزار کاربر توسط بدافزار Adwind آسیبدیدهاند.
در ماه جولای سال ۲۰۱۷ میلادی، تِرندمیکرو اعلام کرد که یک پویش Adwind در ماه ژانویه با شناسایی ۵۲۸۶ مورد آغاز شد و یک رشد ۱۰۷ درصدی بین ماههای مِی و ژوئن اتفاق افتاد و ۱۱۷۶۴۹ مورد در ماه ژوئن شناسایی شد. اگر این الگو تکرار شود، چیزی که شرکت KnowBe۴ با عنوان «افزایش تعداد رایانامههای فیشینگ گزارششده توسط مشتریان» اعلام کرده است، میتواند آغاز یک پویش Adwind جدید و بزرگ باشد.
Sjowerman اظهار کرد: «تمام رایانامههای فیشینگ این پویش از عنوان «خطوط و طرحهای مهندسی اجتماعی با تمرکز بر اسناد کسب و کار روزمره و فُرمهای مرتبط: فاکتورها،سفارشات خرید، دستورالعملهای پرداخت، قرارداد، و RFQها (درخواستهایی برای پیشنهاد قیمت).» استفاده میکنند. ظاهرا این پویش به جای مصرفکنندهها، کسب و کارها را هدف قرار داده است. این بسیار شبیه به هشداری است که در ماه دسامبر سال ۲۰۱۵ میلادی توسط شرکت McAfee در رابطه با بدافزار Adwind صادر شده بود؛ در این پویش رایانامههای فیشینگ عناوینی مثل «یادداشت اعتباری برای وجوه واریزنشدهی فاکتور»، «PO#۹۳۹۴۲۳» و «Re: Payment/TR COPY-Urgent» مورد استفاده قرار میدادند.»
شرکت KnowBe۴ دو نمونه رایانامهی فیشینگ ارائه میکند. در نمونهی اول بارداده در پروندهی .JAR قرار دارد. در این نمونه، بلوکهای Outlook با دسترسی به این ضمیمه به طور بالقوه ناامن میشوند. در نمونهی دوم، بار داده در یک پروندهی زیپ قرار گرفته و توسط Outlook مسدود نشده است. شرکت KnowBe۴ دربارهی اینکه تفاوت بین این دو نمونهی رایانامه، و تفاوتهای ادبی بین محتواهای رایانامهها، آیا نشاندهندهی این هستند که این رایانامههای فیشینگ توزیع بدافزار Adwind از طرف چندین گروه نفوذ ارسال میشوند یا خیر، اظهار نظری نکرده است.
Sjowerman به طور ویژه دربارهی توانایی ضدبدافزارها برای تشخیص و مسدود کردن بدافزار Adwind اظهار نگرانی کرد. او گفت: «با اینکه ما میتوانیم بگوییم که تشخیص موتورهای ضدبدافزار با گذشت زمان بهبود یافته است، اما این موتورها هنوز در سطحی نیستند که به طور کامل بتوان به آنها اعتماد کرد؛ حتی پس از گذشت هفتهها از شناسایی اولیهی این بدافزار، نمونههایی که ما در سامانهی VirusTotal آزمایش کردیم، فقط توسط ۱۶ تا ۲۴ موتور یعنی حدود ۲۶ تا ۴۰ درصد (از مجموع ۶۰ موتور) شناسایی شدند.»
این پژوهشگر تأیید میکند که سامانهی VirusTotal دقیقا عملکرد واقعی یک محصول ضدبدافزار را منعکس نمیکند. وی افزود: «شایان ذکر است که در حال حاضر بیشتر محصولات ضدبدافزار نقاط انتهایی از قابلیتهای تشخیص رفتاری مبتنیبر تخمین استفاده میکنند و این قابلیتها به این محصولات اجازه میدهند که حفاظتی فراتر از موتورهای سنتی و مترکز بر محتوا، فراهم کنند.»
با این حال، بیشتر نگرانی این پژوهشگر ناشی از قابلیتهای ضدتشخیص موجود در بدافزار Adwind است. این قابلیتهای ضدتشحیص راهکارهای تشخیص بدافزار از جمله راهکارهای تشخیص جعبهی شنی؛ راهکارهای تشخیص، غیرفعال و حذف کردنِ موجود در ابزارهای امنیتی و ضدبدافزارهای مختلف؛ دستور و کنترلهای محافظتشده با TLS؛ و راهکارهای تشخیص اشکالزدایی و ضد مهندسی اجتماعی را دور میزنند.
این پژوهشگر میگوید: «بیشتر برنامههای حفاظتی مبتنیبر رفتار که در محصولات ضدبدافزار وجود دارند، پس از اینکه پروندههای مخرب در سامانهی پرونده قرار گرفته و اجر شدند، شروع به کار میکنند؛ و با توجه به اینکه خود بدافزار Adwind دارای ابزارهای بسیار تهاجمی برای شناسایی، خنثی کردن، و حذف انواع ابزارهای امنیتی است، بهترین رویکرد برای مقابله با یک تهدید پیشرفته مانند Adwind این است که در مرحلهی اول از بارگیری و اجرای آن جلوگیری شود.» به طور خلاصه، بهترین راه پیشگیری از بدافزار Adwind استفاده از دیوارهی آتش انسانی یعنی آگاهی کاربران است.
منبع: https://news.asis.sh
آزمایشگاه کسپرسکی این بدافزار را اینگونه تعریف میکند: «این بدافزار به صورت علنی و در قالب یک سرویس پرداختی توزیع میشود، و مشتریان در ازای استفاده از این برنامهی مخرب هزینه پرداخت میکنند. تا آخر سال ۲۰۱۵ میلادی این سامانه حدود ۱۸۰۰ نفر کاربر داشت. این مسأله باعث شده است که این بدافزار به یکی از بزرگترین بسترهای بدافزار موجود تا امروز تبدیل شود.»
پویش کنونی توسط یک شرکت آگاهی امنیتی به نام KnowBe۴ شناسایی شده و توسط مدیرعامل این شرکت، Stu Sjowerman، از طریق یک پست وبلاگی گزارش شده است. شرکت KnowBe۴ یک برنامه در اختیار مشتریان خود قرار داده است که از طریق آن میتوانند هنگامیکه یک رایانامه ی مشکوک دریافت کردند با کلیک بر روی آن هم KnowBe۴ و هم گروه امنیتی این شرکت را مطلع کنند.
پژوهشگر امنیتی، Sjowerman، نوشت: «در اوایل ماه اکتبر ما متوجه شدیم که تعداد رایانامههای فیشینگ گزارششده توسط مشتریان که حاوی ضمیمههایی با پسوند .JAR (جاوا) هستند، افزایش یافته است. رایانامههای فیشینگ با چنین ضمیمههای نشانهای از بدافزار Adwind هستند.» مسألهی ناامیدکننده این است که اندازهی این پویش جدید مشخص نیست، زیرا شرکت KnowBe۴ اطلاعات خود را عمدتا از طریق مشتریانی که برنامهی این شرکت را نصب کردهاند، به دست آورده است.
با این حال، با اینکه بدافزار Adwind به عنوان یک سرویس فروخته میشود، اما همچنین میتواند در هر زمانی بهوسیلهی یک پویش بزرگ جدید یا حتی توسط چندین مجرم سایبری با استفاده از پیکربندیهای متفاوت با قابلیتهای متفاوت توزیع شود. در فوریهی سال ۲۰۱۶ میلادی آزمایشگاه کسپرسکی تخمین زد که تا پایان سال ۲۰۱۵ میلادی تقریبا ۴۴۳ هزار کاربر توسط بدافزار Adwind آسیبدیدهاند.
در ماه جولای سال ۲۰۱۷ میلادی، تِرندمیکرو اعلام کرد که یک پویش Adwind در ماه ژانویه با شناسایی ۵۲۸۶ مورد آغاز شد و یک رشد ۱۰۷ درصدی بین ماههای مِی و ژوئن اتفاق افتاد و ۱۱۷۶۴۹ مورد در ماه ژوئن شناسایی شد. اگر این الگو تکرار شود، چیزی که شرکت KnowBe۴ با عنوان «افزایش تعداد رایانامههای فیشینگ گزارششده توسط مشتریان» اعلام کرده است، میتواند آغاز یک پویش Adwind جدید و بزرگ باشد.
Sjowerman اظهار کرد: «تمام رایانامههای فیشینگ این پویش از عنوان «خطوط و طرحهای مهندسی اجتماعی با تمرکز بر اسناد کسب و کار روزمره و فُرمهای مرتبط: فاکتورها،سفارشات خرید، دستورالعملهای پرداخت، قرارداد، و RFQها (درخواستهایی برای پیشنهاد قیمت).» استفاده میکنند. ظاهرا این پویش به جای مصرفکنندهها، کسب و کارها را هدف قرار داده است. این بسیار شبیه به هشداری است که در ماه دسامبر سال ۲۰۱۵ میلادی توسط شرکت McAfee در رابطه با بدافزار Adwind صادر شده بود؛ در این پویش رایانامههای فیشینگ عناوینی مثل «یادداشت اعتباری برای وجوه واریزنشدهی فاکتور»، «PO#۹۳۹۴۲۳» و «Re: Payment/TR COPY-Urgent» مورد استفاده قرار میدادند.»
شرکت KnowBe۴ دو نمونه رایانامهی فیشینگ ارائه میکند. در نمونهی اول بارداده در پروندهی .JAR قرار دارد. در این نمونه، بلوکهای Outlook با دسترسی به این ضمیمه به طور بالقوه ناامن میشوند. در نمونهی دوم، بار داده در یک پروندهی زیپ قرار گرفته و توسط Outlook مسدود نشده است. شرکت KnowBe۴ دربارهی اینکه تفاوت بین این دو نمونهی رایانامه، و تفاوتهای ادبی بین محتواهای رایانامهها، آیا نشاندهندهی این هستند که این رایانامههای فیشینگ توزیع بدافزار Adwind از طرف چندین گروه نفوذ ارسال میشوند یا خیر، اظهار نظری نکرده است.
Sjowerman به طور ویژه دربارهی توانایی ضدبدافزارها برای تشخیص و مسدود کردن بدافزار Adwind اظهار نگرانی کرد. او گفت: «با اینکه ما میتوانیم بگوییم که تشخیص موتورهای ضدبدافزار با گذشت زمان بهبود یافته است، اما این موتورها هنوز در سطحی نیستند که به طور کامل بتوان به آنها اعتماد کرد؛ حتی پس از گذشت هفتهها از شناسایی اولیهی این بدافزار، نمونههایی که ما در سامانهی VirusTotal آزمایش کردیم، فقط توسط ۱۶ تا ۲۴ موتور یعنی حدود ۲۶ تا ۴۰ درصد (از مجموع ۶۰ موتور) شناسایی شدند.»
این پژوهشگر تأیید میکند که سامانهی VirusTotal دقیقا عملکرد واقعی یک محصول ضدبدافزار را منعکس نمیکند. وی افزود: «شایان ذکر است که در حال حاضر بیشتر محصولات ضدبدافزار نقاط انتهایی از قابلیتهای تشخیص رفتاری مبتنیبر تخمین استفاده میکنند و این قابلیتها به این محصولات اجازه میدهند که حفاظتی فراتر از موتورهای سنتی و مترکز بر محتوا، فراهم کنند.»
با این حال، بیشتر نگرانی این پژوهشگر ناشی از قابلیتهای ضدتشخیص موجود در بدافزار Adwind است. این قابلیتهای ضدتشحیص راهکارهای تشخیص بدافزار از جمله راهکارهای تشخیص جعبهی شنی؛ راهکارهای تشخیص، غیرفعال و حذف کردنِ موجود در ابزارهای امنیتی و ضدبدافزارهای مختلف؛ دستور و کنترلهای محافظتشده با TLS؛ و راهکارهای تشخیص اشکالزدایی و ضد مهندسی اجتماعی را دور میزنند.
این پژوهشگر میگوید: «بیشتر برنامههای حفاظتی مبتنیبر رفتار که در محصولات ضدبدافزار وجود دارند، پس از اینکه پروندههای مخرب در سامانهی پرونده قرار گرفته و اجر شدند، شروع به کار میکنند؛ و با توجه به اینکه خود بدافزار Adwind دارای ابزارهای بسیار تهاجمی برای شناسایی، خنثی کردن، و حذف انواع ابزارهای امنیتی است، بهترین رویکرد برای مقابله با یک تهدید پیشرفته مانند Adwind این است که در مرحلهی اول از بارگیری و اجرای آن جلوگیری شود.» به طور خلاصه، بهترین راه پیشگیری از بدافزار Adwind استفاده از دیوارهی آتش انسانی یعنی آگاهی کاربران است.
منبع: https://news.asis.sh