مرکز امنیت و‌ رخدادهای‌ سایبری | APK

فایل Excel آلوده به باج‌افزار Grandcrab

اخیرا مشاهده شده که مجرمین سایبری با استفاده از یک تصویر Steganography از کاراکتر بازی سوپرماریو و یک فایل Excel آلوده، نوعی باج افزار Gandcrab را پخش می‌نمایند. یک محقق امنیتی به نام Matthew Rowen از شرکت Bromium حین آنالیز استاتیک این باج‌افزار با انتشار گسترده‌ی یک نمونه Trojan مواجه شد. این Trojan یک کد ماکروی کارگذاری‌شده دارد که اگر مبداء دستگاه آلوده (Infected Machine) در ایتالیا و با کد کشور 39 نباشد، ماکرو باید بلافاصله خارج شود.

همچنین مهاجمین از برخی تکنیک‌های مهندسی اجتماعی برای فریب دادن کاربران استفاده می‌کنند تا ماکرو را فعال نمایند، که منجر به آلوده شدن سیستم فرد قربانی می‌شود. در هنگام مشاهده Sheet فایل Excel گفته می‌شود که: «امکان مشاهده آنلاین پیش‌نمایش فایل وجود ندارد و برای دیدن محتوا، لازم است روی Enable Edit و Enable Content کلیک شود.»

آن پژوهشگر وقتی نمونه‌ی داخل Sandbox Container را آنالیز می‌کند با اسکریپت‌های مبهم PowerShell و cmd.exe مواجه می‌شد. وی در این مورد می‌گوید: «سازندگان بدافزار برای رسیدن به بازاریابی پورسانتی به سختی تلاش می‌نمایند و برای جلب بیشترین توجه و بهترین قیمت‌ها، لازم است به شهرت برسند.»

تصویر سوپرماریو با استفاده از Steganography

جالب اینجاست که اسکریپت PowerShell سعی دارد تصاویر سوپر ماریو را دانلود کند و برخی داده‌ها را از پیکسل‌ها استخراج نماید. پخش تصاویر مخرب با استفاده از روش Malspam برای نفوذ یک نمونه‌ی جدید می‌باشد. بنا به گفته‌ی شرکت Bromium: «با یک دوباره بهم ریزی دستی (Manual Re-shuffle) برای شفاف‌سازی (De-Obfuscate) کد می‌توان عملیات بیتی (Bitwise Operation) را روی پیکسل های آبی و سبز به صورت واضح‌تری دید. از آنجایی که تنها 4 بیت پایین‌تر آبی و سبز استفاده شده است، وقتی انسان به تصویر نگاه کند تفاوت چندانی برای او ایجاد نمی‌شود، اما بسیار بدیهی است که چند کد نهفته دارد.»

همچنین اسکریپت‌های بسیار پیچیده‌ی PowerShell پشت تصویر Super Mario پنهان شده‌اند و از یک بخش کوچک کانال سبز و آبی را از پیکسل‌های تصویر پیدا می‌کند. سرانجام به Remote Server وصل می‌شود و فایل باج افزار Gandcrab را دانلود می‌کند تا به سیستم کاربر نفوذ کرده و پس از رمزنگاری فایل‌ها، برای بازگرداندن دسترسی به آن‌ها تقاضای باج نماید. در حال حاضر، می‌توان دید که سازندگان بدافزار Grandcrab با استفاده از Steganography از آشکار شدن باج‌افزار Grandcrab توسط سیستم‌های امنیتی جلوگیری می‌نمایند و این امر در حال افزایش است.

اشتراک امنیت

دسته ها