محققان یک نوع بدافزار ارزان قیمت را که یک بار بر روی دستگاه های ویندوز متمرکز بود ، مشاهده کرده اند که برای آلوده کردن رایانه های شخصی Mac ارتقا یافته است.
امنیت
حمله باج افزار Kaseya: آنچه باید بدانید
بررسی Surfshark VPN: ارزان است اما خوب است؟
بهترین مرورگرها برای حفظ حریم خصوصی
امنیت سایبر 101: از حریم خصوصی خود محافظت کنید
بهترین نرم افزار و برنامه های ضد ویروس
بهترین VPN ها برای استفاده در مشاغل و منازل
بهترین کلیدهای امنیتی برای 2FA
چگونه قربانیانی که باج می دهند حملات بیشتری را تشویق می کنند (ZDNet YouTube)
روز چهارشنبه ، Check Point Research (CPR) گفت این بدافزار ، که "XLoader" نامیده می شود ، از یک نسخه مبتنی بر ویندوز به نام Formbook نشأت گرفته است.
Formbook یک بار در فروم های زیرزمینی با هزینه ای کمتر از 29 دلار در هفته به صورت اشتراک در دسترس بود. با این حال ، این بدافزار تقریباً چهار سال پیش توسط توسعه دهنده ، معروف به ng-Coder از فروش خارج شد و تا سال 2020 دوباره ظاهر نشد - در حالی که نام جدید XLoader را نیز به خود اختصاص داده است.
با این حال ، لازم به ذکر است که اگرچه فروش به پایان رسید ، Formbook همچنان تهدیدی رایج در طبیعت است.
CPR در طی شش ماه گذشته بدافزار را مورد تجزیه و تحلیل قرار داده است. محققان همان پایه کد را پیدا کرده اند که Formbook در حال بازی است ، اما تغییرات قابل توجهی توسط توسعه دهنده اعمال شده است - از جمله قابلیت های جدید برای به خطر انداختن سیستم های macOS.
زنجیره های آلودگی از طریق فیشینگ آغاز می شوند ، در این ایمیل های جعلی حاوی پیوست های مخربی مانند اسناد مسلح Microsoft Office است که با بدافزار پر شده است.
XLoader در حال نظارت بر نرم افزار با قابلیت دسترسی از راه دور ، ورود به سیستم با ضربه زدن به کلید ، امکان عکس گرفتن از صفحه و همچنین انفجار اطلاعات مانند سرقت اعتبار حساب است. علاوه بر این ، بدافزار دارای تنظیمات گسترده ای برای فرمان و کنترل (C2) است که از نزدیک به 90،000 دامنه در ارتباطات شبکه استفاده می کند - اما فقط 1300 چراغ C2 واقعی هستند.
با زیرساخت های دقیق تر کسب و کار آشنا شوید
راه حل های مناسب IaaS را برای نیازهای تجاری تعمیرات گوشی آیفون خود پیدا کنید. بارهای خود را در بیش از 60 مرکز IBM Cloud Data مستقر ، کنترل و مدیریت کنید.
White Papers ارائه شده توسط IBM
CPR می گوید: "88000 دامنه دیگر متعلق به سایتهای قانونی است که بدافزار ترافیک مخربی را نیز برای آنها ارسال می کند." "این معضل فروشندگان امنیتی را با این معضل مواجه می کند که چگونه می توان مشخص کرد کدام یک از سرورهای C&C واقعی هستند و به طور مثبت کاذب سایت های قانونی را به عنوان مخرب شناسایی نمی کنند."
بسته به مدت زمان اشتراک و اینکه آیا نسخه Windows یا macOS می خواهند ، XLoader با مجوز بین 59 تا 129 دلار در مجامع زیرزمینی در دسترس قرار گرفته است.
CPR
CPR پیوندهایی را بین ng-Coder و کاربر فروم xloader پیدا کرده است که تصور می شود مورد دوم فقط یک فروشنده است.
به نظر می رسد که فعالان بالقوه تهدید در 69 کشور تاکنون درخواست دسترسی به بدافزار را دارند که توسط یک سرور متمرکز C2 مدیریت می شود. بیش از نیمی از قربانیان XLoader که تاکنون کشف شده اند در ایالات متحده هستند.
یانیو بالماس ، رئیس تحقیقات سایبری در CPR ، اظهار داشت: "اگرچه ممکن است بین ویندوز و بدافزار macOS شکاف وجود داشته باشد ، اما با گذشت زمان به تدریج این شکاف در حال کاهش است." "حقیقت این است که بدافزار MacOS در حال بزرگتر شدن و خطرناک تر شدن است. یافته های اخیر ما نمونه کاملی است و این روند رو به رشد را تأیید می کند."