کاربران ایرانی هدف حمله هرزنامههایِ با پیوست بدافزار Nemucod
یک شنبه 7 آذر 1395 9:19 AM
Nemucod، بدافزاری از نوع دانلودکننده فایل (Downloader) است که عمدتاً توسط نویسندگان باجافزارهای Locky و Cerber مورد استفاده قرار میگیرد. نقش اصلی بدافزارهای دانلودکننده، برقراری ارتباط با سرور فرماندهی مهاجم، دریافت بدافزار و اجرای آن بر روی سیستم قربانی است.
اخیر تعداد قابل توجهی از هرزنامههای با پیوست بدافزار Nemucod به کاربران ایرانی ارسال شده است.
در این هرزنامهها معمولاً اینطور القاء میشود که پرداخت اخیر کاربر بهطور صحیح و کامل صورت نگرفته و برای مشاهده جزییات بیشتر باید فایل پیوست هرزنامه ارسال شود. برخی عناوین این هرزنامهها بهشرح زیر است:
پیوست این هرزنامهها نیز یک فایل فشرده شده با پسوند ZIP است که برخی نمونه نامهای مشاهده شده توسط شرکت مهندسی شبکه گستر بهشرح زیر است:
در برخی نمونهها، فایل فشرده شده پیوست هرزنامه حاوی یک فایل JavaScript است.
به منظور فرار از سد قابلیتهای رفتارشناسی ضدویروسها و بسترهای قرنطینه امن (Sandbox) و همچنین دشوار نمودن کار تحلیلگران بدافزار، کد JavaScript مبهمسازی (Obfuscation) شده است. (تصویر زیر)
همچنین در برخی نمونهها، فایل فشرده شده حاوی فایلی با پسوند WSF است.
WSF یا Windows Scripting File یک فایل متنی حاوی کدهای XML است. این نوع فایل با هر دو زبان اسکریپتنویسی JavaScript و VBScript سازگار است و برنامهنویس حتی میتواند از هر دوی این زبانها در یک فایل WSF استفاده کند.
در صورتی که ترفندهای مهندسی اجتماعی هرزنامه جواب دهد و کاربر فایل WSF/JS را اجرا کند، کد مخرب پس از برقراری ارتباط با سرور فرماندهی اقدام به دریافت باجافزار Locky و اجرای آن بر روی دستگاه قربانی میکند.
نمونههای بررسی شده این بدافزار توسط ضدویروسهای McAfee،وBitdefender و ESET با نامهای زیر شناسایی میشوند.
McAfee
– JS/Nemucod.jg
– JS/Nemucod.pj
Bitdefender
– Trojan.GenericKD.3741991
– Trojan.GenericKD.3741891
– JS:Trojan.JS.Agent.OMS
– Trojan.GenericKD.3760767
– JS:Trojan.JS.Downloader.HBU
ESET
– JS/TrojanDownloader.Nemucod.BOU
– JS/TrojanDownloader.Nemucod.BQM
– JS/TrojanDownloader.Nemucod.BPO
– JS/TrojanDownloader.Nemucod.BPV
– JS/TrojanDownloader.Agent.PGX
.تفکر از تخصص مهمتر است📌
