ورود باج افزار HavanaCrypt به بازار به عنوان یک به روز رسانی جعلی گوگل

 باج افزار

یک خانواده باج‌افزار جدید در قالب به‌روزرسانی جعلی نرم‌افزار Google ظهور کرده است. این باج افزار در بخشی از حمله خود از قابلیت های مایکروسافت استفاده میکند.

 

ورود باج افزار HavanaCrypt به بازار به عنوان یک به روز رسانی جعلی گوگل

مشکل در شناسایی، پنهان کردن پنجره آن با استفاده از تابع ShowWindow در ویندوز

یک خانواده باج‌افزار جدید در قالب به‌روزرسانی جعلی نرم‌افزار Google ظهور کرده است. این باج افزار در بخشی از حمله خود از قابلیت های مایکروسافت استفاده میکند.

محققان Trend Micro می‌گویند که آخرین تهدیدی را که کشف کرده‌اند «HavanaCrypt» نام دارد و یک بسته باج‌افزاری است که خود را به‌عنوان یک به‌روزرسانی نرم‌افزار Google معرفی می‌کند، اگرچه یک برنامه کامپایل‌شده توسط .NET است.

چندین ویژگی تشخیص آن را دشوار می‌کند. این بدافزار از Obfuscar استفاده می کند، یک مبهم کننده open-source در .NET که برای ایمن سازی کدها در مجموعه .NET طراحی شده است.

پس از اولین اجرا، باج افزار پنجره خود را با استفاده از تابع ShowWindow در سیستم پنهان می‌کند و به آن پارامتر 0 می‌دهد.

محققان نوشتند: «این بدافزار همچنین دارای چندین تکنیک ضد مجازی‌سازی است که به آن کمک می‌کند هنگام اجرا در یک ماشین مجازی از تجزیه و تحلیل پویا جلوگیری کند.» هم‌چنین اضافه کردند که اگر این بدافزار بفهمد که سیستم در محیط VM در حال اجرا است، خودش را نابود می‌کند.

این بررسی VM را در چهار مرحله اجرا می‌کند: بررسی سرویس‌های موجود در ماشین‌های مجازی مانند VMware Tools و vmmouse، جستجوی فایل‌هایی که معمولاً مربوط به برنامه‌های VM هستند و جستجوی نام فایل‌هایی که ماشین‌های مجازی برای فایل‌های اجرایی خود استفاده می‌کنند. در نهایت، بدافزار به آدرس MAC سیستم نگاه می‌کند و آن را با پیشوندهای شناسایی منحصربه‌فرد سازمانی (OUI) که معمولاً توسط ماشین‌های مجازی استفاده می‌شود، مقایسه می‌کند.

هنگامی که HavanaCrypt تشخیص داد که سیستم قربانی در VM اجرا نمی‌شود، یک فایل را از آدرس IP سرویس میزبانی وب مایکروسافت دانلود می‌کند، آن را به عنوان یک فایل batch ذخیره می‌کند و سپس اجرا می‌کند. این بدافزار بیش از 80 فرآیند را خاتمه می‌دهد، از جمله آنهایی که بخشی از برنامه‌های مرتبط با پایگاه داده مانند Microsoft SQL Server و MySQL و همچنین نرم افزارهای دسکتاپ مانند Office و Steam هستند. سپس کپی‌های سایه ای (shadow copy) از فایل ها را حذف می‌کند.

HavanaCrypt متعاقباً نسخه‌های اجرایی خود را در پوشه‌های «ProgramData» و «StartUp» قرار می‌دهد، آنها را فایل‌های سیستمی مخفی می‌کند و Task Manager را غیرفعال می‌کند.

این باج افزار اطلاعات مربوط به سیستم - شناسه منحصر به فرد (UID) - را از تعداد هسته های پردازنده، شناسه و نام تراشه، سازنده و نام مادربرد، شماره محصول و نسخه BIOS  جمع آوری می‌کند. همه اینها به سرور کنترل و فرمان (C2) بدافزار، که آدرس IP سرویس میزبانی وب مایکروسافت است، ارسال می‌شود. محققان Trend Micro نوشتند که استفاده از سرور C2 که بخشی از خدمات میزبانی وب مایکروسافت است غیرعادی است.

در طول رمزگذاری، HavanaCrypt از تابع CryptoRandom در KeePass Password Safe - یک ابزار مدیریت رمز عبور متن‌باز که بیشتر برای ویندوز استفاده می‌شود - برای تولید کلیدهای تصادفی استفاده می‌کند و پسوند "Havana." را به فایل های رمزگذاری شده اضافه می‌کند.

محققان نوشتند: «احتمال زیادی وجود دارد که نویسنده باج‌افزار قصد داشته باشد از طریق مرورگر Tor ارتباط برقرار کند، زیرا دایرکتوری Tor از جمله دایرکتوری‌هایی است که از رمزگذاری فایل‌ها در آن اجتناب می‌کند. لازم به ذکر است که HavanaCrypt همچنین فایل متنی foo.txt را رمزگذاری می کند و یادداشت باج‌خواهی نمی دهد. این ممکن است نشان دهنده این باشد که HavanaCrypt هنوز در مرحله توسعه خود است.»

HavanaCrypt بخشی از هجوم رو به رشد خانواده‌های باج‌افزار و حملات است. Trend Micro در سه ماهه اول بیش از 4.4 میلیون تهدید باج‌افزاری را که از طریق ایمیل، آدرس‌های اینترنتی و لایه‌های فایل ارسال می‌شد، شناسایی و مسدود کرده است.

 

این شامل یک به‌روزرسانی جعلی ویندوز است که باج‌افزار Magniber را توزیع می‌کند - تهدیدی که حداقل از سال 2017 وجود داشته است - و حملاتی که از به‌روزرسانی‌های جعلی مایکروسافت اج و مرورگر Google برای تحت فشار قرار دادن آسیب‌پذیری  Magnitude استفاده می‌کنند.

 

منبع: Theregister.com

تیم خبری
تهیه کننده:

تیم خبری