[[{"content_id":434146,"content_number":0,"portal_id":184,"lang_id":"fa","content_title":"کشف باج‌افزار جدید (PowerWare)","content_rtitr":"","content_short_title":null,"content_summary":"","content_summary_fill":0,"content_body":"باج‌افزار (PowerWare) که بدون هیچ پرونده‌ای و از طریق عملیات هرزنامه‌ای پخش می‌شود.\r\n\r\n\r\n\r\nبه گزارش واحد امنیت سایبربان؛ مجرمان سایبری هرروزه محدوده توانایی‌های خود را در ویژگی‌های جدید انواع باج‌‌افزارها به نمایش می‌گذارند.\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\nمحققان در شرکت امنیتی بلک‌کاربن (Black Carbon) شرکتی در ایالت ماساچوست آمریکا به مجله امنیتی Threatpost گفتند که یک باج‌افزار جدید بانام PowerWare هفته پیش زمانی کشف‌شده‌ است که شرکتی در زمینه صنعت بهداشت را هدف قرار داده بود.\r\n\r\nآنچه PowerWare را از دیگر بدافزارهای رمزنگاری جدا کرده است این است که این بد‌افزار هیچ پرونده‌ای ندارد و این شیوه‌ای است که خانواده‌های دیگر بدافزارهای قرار داده‌شده در کیت‌های سوء‌استفاده از آسیب‌پذیری‌ مانند Anglar به‌کاربرده‌اند.\r\n\r\nبرای مثال شرکت Palo Alto دو هفته‌ی پیش از وجود خانواده بدافزاری به نام PowerSniff پرده برداشت که رفتاری مشابه بدافزار PowerWare داشت. ازجمله این رفتارها می‌توان آلوده کردن بدون نیاز به پرونده را نام برد.\r\nاین بدافزار از طریق عملیات هرزنامه‌‌ای پخش می‌شود. در این فرآیند رایانامه‌ی مذکور یک پرونده‌ی پیوست مایکروسافت ورد دارد که وانمود می‌کند یک صورت‌حساب تجاری است. برای انتقال صحیح پیوست ورد، قربانی وسوسه می‌شود تا ماکروها را فعال کند.  هنگامی‌که ماکروها فعال شدند، cmd.exe و سپس از طریق آن PowerShell را که قالبی برای مدیریت دستورات در پوسته‌‌ی فرمان برای ویندوز است باز می‌کند تا کدی مخرب را بارگیری کند. ریکو والدز محقق ارشد در شرکت بلک کربن می‌گوید: «استفاده از PowerShell از نوشتن پرونده‌ها به دیسک جلوگیری کرده و به بدافزار اجازه می‌دهد با فعالیتی مجاز روی کامپیوتر هماهنگ شود.»\r\nوالدز اضافه می‌کند: «ماکروها PowerShell را راه‌اندازی و کد باج‌افزار را به کار می‌گیرد. بسیاری از بدافزارها از طریق ماکروها در پرونده‌های ورد (word) توزیع می‌یابند. اکثر مواقع این بدافزارها پرونده‌های دودویی بیشتری را بارگیری می‌کنند تا فعالیت‌های مخرب بیشتری انجام دهند (مانند درهای پشتی و غیره). ماکرو نمی‌تواند این نظام‌های دودویی اضافی را از این ببرد و از PowerShell به‌عنوان اهرمی برای کارهای مخرب استفاده می‌کند.»\r\nدر عمل PowerWare به‌محض این‌که به یک ماشین راه می‌یابد از PowerShell برای رمزگذاری فایل‌های ذخیره‌شده‌ای روی دستگاه استفاده می‌کند.\r\n\r\nبرنامه‌ای که درواقع همه پرونده‌ها را رمزگذاری می‌کند PowerShell است. یک اسکریپت بارگیری شده و به PowerShell داده می‌شود؛ یعنی هیچ بدافزار قدیمی و هیچ پرونده‌ی اجرایی موردنیاز نیست و تنها چیزی که لازم است یک سند به شکل ورد (متن) است.\r\n\r\nپرونده‌های شخص قربانی رمزگذاری می‌شوند و مهاجم به ازای پرداخت ۵۰۰ دلار کلید پرونده‌ها را به قربانی می‌دهد، اگرچه دو هفته پس از آلودگی این مبلغ به ۱۰۰۰ دلار افزایش‌یافته است.\r\n\r\n استفاده از ماکروها برای شروع بارگیری باج‌افزار تنها به باج‌افزار PowerWare اختصاص ندارد. برای مثال باج‌افزار Locky که در حال حاضر بیمارستان‌های هالیوود و کنتاکی را آلوده کرده است از روش‌های مشابهی برای انتقال  استفاده کرده و بر اساس هرزنامه‌های دارای اسناد ورد کار می‌کند که از ماکروها برای بارگیری بدافزار استفاده می‌کند؛ اما بدافزار Locky از ماکروها برای بارگیری پرونده‌ها به ماشین قربانی استفاده می‌کند، کاری که PowerWare از آن اجتناب می‌کند.\r\n\r\nاستفاده از ماکروها در جهت نصب بدافزارها در شش ماه گذشته افزایش بیشتری داشته‌ است، نه‌تنها در زمینه باج‌افزارها بلکه در مورد بدافزارهای بانکی همچون Dridex البته ماکروها به‌طور پیش‌فرض توسط ماشین‌های ویندوزی غیرفعال شده‌اند.\r\n\r\nوالدز گفت: «این حمله برای این طراحی‌شده است که با مهندسی اجتماعی کاربر را مجاب به فعال‌سازی ماکروها کند. اسناد ورد و صفحات اکسل بسیاری حاوی ماکرو هستند بنابراین بسته به محیط مورد هدف و مهارت کاربر، این کار غیرمعمول نیست.»\r\n\r\nدر مورد PowerSniff که توسط Palo Alto کشف‌شده است، نیز از ماکروهایی برای راه‌اندازی نمونه PowerShell استفاده می‌کند تا بدین ترتیب کد پوسته‌ای بارگیری شود که بدافزار Ursnif را مستقیماً بر روی حافظه نصب کند.\r\n\r\n هردو شرکت مذکور شاخص‌هایی برای آلوده شدن با خانواده بدافزارهای کشف‌شده منتشر کرده‌اند.","content_html":"

باج‌افزار (PowerWare) که بدون هیچ پرونده‌ای و از طریق عملیات هرزنامه‌ای پخش می‌شود.<\/h1>\n\n
\n
\n
به گزارش واحد امنیت سایبربان؛ مجرمان سایبری هرروزه محدوده توانایی‌های خود را در ویژگی‌های جدید انواع باج‌‌افزارها به نمایش می‌گذارند.<\/span><\/div>\n<\/div>\n<\/div>\n\n
\n
\n
\n
\n

محققان در شرکت امنیتی بلک‌کاربن (Black Carbon<\/span>) شرکتی در ایالت ماساچوست آمریکا به مجله امنیتی Threatpost<\/span> گفتند که یک باج‌افزار جدید بانام PowerWare<\/span> هفته پیش زمانی کشف‌شده‌ است که شرکتی در زمینه صنعت بهداشت را هدف قرار داده بود.<\/p>\n\n

آنچه PowerWare<\/span> را از دیگر بدافزارهای رمزنگاری جدا کرده است این است که این بد‌افزار هیچ پرونده‌ای ندارد و این شیوه‌ای است که خانواده‌های دیگر بدافزارهای قرار داده‌شده در کیت‌های سوء‌استفاده از آسیب‌پذیری‌ مانند Anglar<\/span> به‌کاربرده‌اند.<\/p>\n\n

برای مثال شرکت Palo Alto<\/span> دو هفته‌ی پیش از وجود خانواده بدافزاری به نام PowerSniff<\/span> پرده برداشت که رفتاری مشابه بدافزار PowerWare<\/span> داشت. ازجمله این رفتارها می‌توان آلوده کردن بدون نیاز به پرونده را نام برد.
\nاین بدافزار از طریق عملیات هرزنامه‌‌ای پخش می‌شود. در این فرآیند رایانامه‌ی مذکور یک پرونده‌ی پیوست مایکروسافت ورد دارد که وانمود می‌کند یک صورت‌حساب تجاری است. برای انتقال صحیح پیوست ورد، قربانی وسوسه می‌شود تا ماکروها را فعال کند.  هنگامی‌که ماکروها فعال شدند، cmd.exe<\/span> و سپس از طریق آن PowerShell<\/span> را که قالبی برای مدیریت دستورات در پوسته‌‌ی فرمان برای ویندوز است باز می‌کند تا کدی مخرب را بارگیری کند. ریکو والدز محقق ارشد در شرکت بلک کربن می‌گوید: «استفاده از PowerShell<\/span> از نوشتن پرونده‌ها به دیسک جلوگیری کرده و به بدافزار اجازه می‌دهد با فعالیتی مجاز روی کامپیوتر هماهنگ شود.»
\nوالدز اضافه می‌کند: «ماکروها PowerShell<\/span> را راه‌اندازی و کد باج‌افزار را به کار می‌گیرد. بسیاری از بدافزارها از طریق ماکروها در پرونده‌های ورد (word<\/span>) توزیع می‌یابند. اکثر مواقع این بدافزارها پرونده‌های دودویی بیشتری را بارگیری می‌کنند تا فعالیت‌های مخرب بیشتری انجام دهند (مانند درهای پشتی و غیره). ماکرو نمی‌تواند این نظام‌های دودویی اضافی را از این ببرد و از PowerShell<\/span> به‌عنوان اهرمی برای کارهای مخرب استفاده می‌کند.»
\nدر عمل PowerWare<\/span> به‌محض این‌که به یک ماشین راه می‌یابد از PowerShell<\/span> برای رمزگذاری فایل‌های ذخیره‌شده‌ای روی دستگاه استفاده می‌کند.<\/p>\n\n

برنامه‌ای که درواقع همه پرونده‌ها را رمزگذاری می‌کند PowerShell<\/span> است. یک اسکریپت بارگیری شده و به PowerShell<\/span> داده می‌شود؛ یعنی هیچ بدافزار قدیمی و هیچ پرونده‌ی اجرایی موردنیاز نیست و تنها چیزی که لازم است یک سند به شکل ورد (متن) است.<\/p>\n\n

پرونده‌های شخص قربانی رمزگذاری می‌شوند و مهاجم به ازای پرداخت ۵۰۰ دلار کلید پرونده‌ها را به قربانی می‌دهد، اگرچه دو هفته پس از آلودگی این مبلغ به ۱۰۰۰ دلار افزایش‌یافته است.<\/p>\n\n

 استفاده از ماکروها برای شروع بارگیری باج‌افزار تنها به باج‌افزار PowerWare<\/span> اختصاص ندارد. برای مثال باج‌افزار Locky<\/span><\/a> که در حال حاضر بیمارستان‌های هالیوود و کنتاکی را آلوده کرده است از روش‌های مشابهی برای انتقال  استفاده کرده و بر اساس هرزنامه‌های دارای اسناد ورد کار می‌کند که از ماکروها برای بارگیری بدافزار استفاده می‌کند؛ اما بدافزار Locky<\/span><\/a> از ماکروها برای بارگیری پرونده‌ها به ماشین قربانی استفاده می‌کند، کاری که PowerWare<\/span> از آن اجتناب می‌کند.<\/p>\n\n

استفاده از ماکروها در جهت نصب بدافزارها در شش ماه گذشته افزایش بیشتری داشته‌ است، نه‌تنها در زمینه باج‌افزارها بلکه در مورد بدافزارهای بانکی همچون Dridex<\/span> البته ماکروها به‌طور پیش‌فرض توسط ماشین‌های ویندوزی غیرفعال شده‌اند.<\/p>\n\n

والدز گفت: «این حمله برای این طراحی‌شده است که با مهندسی اجتماعی کاربر را مجاب به فعال‌سازی ماکروها کند. اسناد ورد و صفحات اکسل بسیاری حاوی ماکرو هستند بنابراین بسته به محیط مورد هدف و مهارت کاربر، این کار غیرمعمول نیست.»<\/p>\n\n

در مورد PowerSniff<\/span> که توسط Palo Alto<\/span> کشف‌شده است، نیز از ماکروهایی برای راه‌اندازی نمونه PowerShell<\/span> استفاده می‌کند تا بدین ترتیب کد پوسته‌ای بارگیری شود که بدافزار Ursnif<\/span> را مستقیماً بر روی حافظه نصب کند.<\/p>\n\n

 هردو شرکت مذکور شاخص‌هایی برای آلوده شدن با خانواده بدافزارهای کشف‌شده منتشر کرده‌اند.<\/span><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","content_source":"","content_url":"","content_date_start":"2016-04-02 14:43:50","content_date_event":"2016-04-02 14:43:50","content_date_event_start":null,"content_date_event_end":null,"content_show_title_slider":1,"content_date_last_edit":"2016-04-02 14:44:34","content_date_register":"2016-04-02 14:44:34","content_columns":0,"content_show_img":1,"content_show_details":0,"content_show_related_img":0,"content_show_slider":1,"content_comment":1,"content_score":0,"tag_id":0,"score_average":null,"score_count":null,"score_date_last":null,"uid":15356,"eid":0,"attach_title":null,"attaches":[{"sizes":{"150":".\/cache\/184\/attach\/201604\/33832_1497236436_150_104.webp","300":".\/cache\/184\/attach\/201604\/33832_1497236436_260_180.webp","400":".\/cache\/184\/attach\/201604\/33832_1497236436_260_180.webp","600":".\/cache\/184\/attach\/201604\/33832_1497236436_260_180.webp","900":".\/cache\/184\/attach\/201604\/33832_1497236436_260_180.webp","1200":".\/cache\/184\/attach\/201604\/33832_1497236436_260_180.webp"},"ext":"png","file_media":1,"token":1497236436,"files":{"original":{"url":".\/file\/184\/attach\/201604\/33832_1497236436.png","width":260,"height":180,"size":0}}}]}]]