اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

استفاده‌ی هکرها از Steganography جهت ارسال بدافزار Powload

استفاده‌ی هکرها از Steganography جهت ارسال بدافزار Powload

اخیرا مجرمین سایبری به راه منحصر به فردی برای پخش بدافزار Powload با کمک Steganography دست یافته‌اند تا سیستم هدف را آلوده سازند. فعالیت انتشار بدافزار Powload از سال 2018 از طریق تکنیک‌های بدون فایل (Fileless) و سرقت اکانت‌های ایمیل جهت ارائه‌ی بدافزارهای سرقت اطلاعات، نظیر Emotet و Ursnif صورت می‌گیرد. اما در حملات اخیر تکنیک‌های Steganography به کار گرفته شد و مهاجمین از روش بدون فایل (دامنه‌ی آلوده‌سازی ساده) که با افزودن مراحل اضافی تغییر یافته است، صرف نظر کردند، تا بدافزاری را پخش کنند که به شناسایی نشدن آن کمک می‌نماید.

روش کار بدافزار Powload

 Steganography روشی برای مخفی نمودن کد مخرب درون عکسی است که عمدتا توسط Exploit Kitها به کار گرفته می‌شود و مورد استفاده‌ی مهاجمین قرار می‌گیرد تا Malvertising Traffic را پنهان نمایند. معمولا مهاجمین از این تکنیک منحصر به فرد استفاده می‌کنند تا بدافزارهای شناخته شده‌ای مانند Ursnif و Bebloh را با استفاده از Steganography در مراحل آلوده سازی، فعال و اجرا نمایند.

رویکرد Powload در استفاده از Steganography

در این مورد بدافزار Powload از یک اسکریپت با دسترسی عمومی به نام «Invoke-PSImage» استفاده می‌نماید که به جاسازی اسکریپت‌های مخرب در پیکسل‌های یک فایل PNG کمک می‌کند. بعدها مهاجمین با استفاده از گروه‌های ایمیل اسپم که حاوی سندی با کدهای Macroی مخرب جاسازی‌شده بود، به قربانی‌ها دست یافتند. در این مورد مهاجمین با استفاده از تکنیک‌های مهندسی اجتماعی مختلف کاربر را فریب می‌دهند که Attachment را دانلود و روی آن کلیک کند.

شرکت مهندسی امن پایه ریزان کارن APK دارای مجرب ترین تیم طراحی امنیت شبکه و راهکارهای امنیتی در کشور

استفاده‌ی هکرها از Steganography جهت ارسال بدافزار Powload

زمانی که قربانیان روی مستند کلیک کنند، اسکریپت PowerShell اجرا شده و تصویر محتوی کد مخرب که به صورت آنلاین وجود دارد، دانلود می‌گردد. در این مورد کد مخرب تنها زمانی اجرا می‌گردد که مکان ماشین آلوده xlCountrySetting معادل با 81 (ژاپن) یا 82 (کره) باشد. این امر با کمک یک ابزار رایگان (hxxp://ipinfo.io/country) قابل تحقق است تا IP مربوطه مشخص شود مربوط به کدام کشور است. انگیزه‌ی اصلی این کمپین سرقت اطلاعات حیاتی کاربران است، اما محققین عقیده دارند که Powload، Payload را نیز پخش می‌کند که عملیات مخرب دیگری را اجرا نماید.

دسته ها