بازگشت بدافزار AdvisorsBot - مجله سرگرمی

به گزارش ، پژوهشگران Cybaze-Yoroi ZLab، به تازگی نمونه بدافزار جدیدی را تحلیل نموده اند. مشابه اکثر بدافزارها، این نرم افزار مخرب نیز به وسیله پیوست ایمیل ها منتقل می شود. فایل سند پیوست شده invoice.doc نام دارد. سند آفیس مخرب حاوی کد ماکرو مخرب است. تصویر زیر فرایند آلوده سازی توسط این بدافزار را نمایش می دهد:

سند مخرب پس از باز شدن از کاربر تقاضا می نماید تا اسکریپت های ماکرو را فعال کند. این کدها بشدت مبهم سازی شده اند تا از شناسایی آن ها جلوگیری شود. کد ماکرو یک رشته متنی را از یک شیء WebClient فراخوانی شده از کنسول PowerShell دریافت می نماید و آن را به عنوان یک فایل تصویر png ذخیره می نماید.رمزگشایی این اسکریپت IP سرور کنترل و فرمان (C&C) را نمایان می سازد. تابع دیگری در این کد وجود دارد که اطلاعات مرتبط با سیستم قربانی را جمع آوری می نماید. این کد موارد زیر را جمع آوری می نماید: اطلاعات سیستم آدرس IP رایانه وضعیت شبکه لیست فرایندهای پردازشی در حال انجام دسترسی های موجود نام های کاربری ادمین های دامنه فایل های دسکتاپ آنتی ویرویس نصب شده در رایانهتابع دیگری که کشف شده است، حساب های ایمیل ثبت شده در رایانه قربانی را جستجو می نماید. سرور C&C این بدافزار از دسترس خارج شده است. آخرین فعالیت DNS آن به دسامبر 2018 بازمی شود. IP این سرور به عنوان یک IP مخرب نشان گذاری شده است. دامنه مرتبط با این سرور، zosmogroel[.]com، تا تاریخ 18 دسامبر 2018 فعال بود است. گواهی مربوط به این دامنه با 80 آدرس IP دیگر نیز مرتبط بوده است. تحلیل بیشتر نشان می دهد که از بعضی از این IPها برای انتقال نمونه های بدافزاری دیگر استفاده شده است.نمونه تحلیل شده، بدافزار AdvisorsBot است که اولین بار در تاریخ 23 آگوست 2018 توسط ProofPoint تجزیه و تحلیل شد. همچنین، شواهدی وجود دارد که در ماه آگوست گذشته از سرور C&C این بدافزار برای انتقال بدافزار Ursnif/Gozi استفاده شده است.توصیه می شود تا با غیرفعال سازی ماکروها در اسناد آفیس و توجه به منبع ایمیل های دریافتی، از انتقال این گونه بدافزارها جلوگیری شود.

bestcanadatours.com: مجری سفرهای کانادا و آمریکا | مجری مستقیم کانادا و آمریکا، کارگزار سفر به کانادا و آمریکا