Security News World:

یک گروه جاسوسیِ سایبری منتسب به چین، با بدافزارها و روش‌های جدید، سامانه‌های نظامی و هوافضا در کشورهای روسیه و بلاروس را هدف قرار داده است.

مهاجمان پرونده‌ی کامپایلر کمکی HTML متعلق به شرکت مایکروسافت (chm.) را برای قربانیان ارسال می‌کنند که حاوی پرونده‌ی HTML و یک پرونده‌ی اجرایی دیگر است. زمانی که پرونده‌ی کمکی HTML باز شود، یک متن به زبان روسی نمایش داده شده و از کاربر خواسته می‌شود از طریق کنترل حساب کاربری (UAC) اجازه‌ی اجرای برنامه‌ی ناشناخته‌ای را صادر کند. اگر قربانی با این درخواست موافقت کند، بارگیری‌کننده‌ی ZeroT بر روی سامانه‌ی قربانی نصب خواهد شد.

پس از آلوده شدن سامانه‌ی قربانی، بارگیری‌کننده‌ی ZeroT با کارگزار دستور و کنترل ارتباط برقرار می‌کند و اطلاعاتی در مورد سامانه‌ی آلوده را بر روی این کارگزار بارگذاری می‌کند. بارگیری‌کننده‌ی ZeroT در ادامه یک نسخه‌ی شناسایی‌شده از تروجان PlugX را بارگیری می‌کند. این تروجان یا در قالب یک بار داده‌ی کدگذاری‌نشده و یا در قالب یک پرونده‌ی تصویری با فرمت bmp. بارگیری می‌شود. در این پرونده‌ی تصویری با استفاده از روش‌های نهان‌نگاری، بدافزار مورد نظر مخفی شده است.

@SecuNW

منبع : asid

نوشته شده در تاریخ یکشنبه 17 بهمن 1395    | توسط: No Name    |    |
نظرات()