بررسی بدافزار Remtasu- دزد حسابهای Facebook
بررسی بدافزار Remtasu- دزد حسابهای Facebook
شرکت تحقیقات امنیتی ESET Labs در سال گذشته مطالعاتی بر روی توزیع بدافزار Remtasu انجام داد و هشدار داد که این تهدید در حال گسترش و فعالیت بیشتر است. گونه Win32/Remtasu.Y این بدافزار بیشتر در آمریکای لاتین فعال است اما در ترکیه، تایلند و کشورهای دیگر دیدهشده است. یکی از ابزارهای کار این تهدید روشی مخرب برای دریافت اسم رمز حسابهای کاربری Facebook میباشد.
تغییرات در مهندسی اجتماعی
تا سال گذشته اکثر حملات نوع فیشینگ (Phishing) مانند DIAN، Avianca و Falabella از طریق یک ایمیل دارای لینک و یا ضمیمه مخرب بود که اسامی آنها حساب و صورتحساب بود و ظاهر آنها در قالب فایلهای Microsoft Office میبود. این نوع تهدیدها هنوز وجود دارند اما حالا ESET مکانیزم های مهندسی اجتماعی جدیدی را کشف کرده است که از طریق شبکههای اجتماعی مانند فیس بوک عمل میکنند و بر اساس نیاز مستمر اکثریت کاربران برای “در دست داشتن کنترل در شبکه فیس بوک” عمل میکنند.
برنامه هک فیس بوک 1
این فایلها مانند خانواده بدافزار سال گذشته هستند، اما روش توزیع آنها تغییر کرده است. این بدافزار از طریق ایمیل توزیع نمیشود و مستقیم از سایتها دانلود میگردد. با دانلود شدن و اجرا آن توسط کاربر، دادهها را مجرمین سایبری دریافت میکنند و سیستم شما نقض میگردد.
یکی از نمونههای که ESET مطالعه نمود دقیقاً با روشهای بالا اجرا شد. یکی از مشخصههای یافته شده در این بدافزار UPX compression بود.
برنامه هک فیس بوک 2
پسازاینکه فایل از حالت فشرده باز شد، عملکردهای اجراشده در کد مخرب بدافزار قابلرؤیت بوده و ابعاد آن نمایان میشود.
Rematsu functions 1
برای مثال، اینگونه مشخصات خاصی برای باز کردن و دریافت اطلاعات از clipboard کاربر دارد. علاوه بر دسترسی به این اطلاعات، این کد مخرب قادر است که keystroke ها و تمام دادهها را در یک فایل ثبت کند و به سرور FTP خود ارسال نماید.
Rematsu functions 2
این ویروس درصدد باقی ماندن در سیستم حتی پس از Reboot و تلاش کاربر بر پیدا این تهدید در لیست پروسههای فعال (active processes) میباشد. بدافزار کپی خود را در پوشهای در system32 قرار میدهد و این پوشه جدید InstallDir در فایلهای سیستمی پنهان میماند و بهراحتی در دسترس کاربر نخواهد بود.
Rematsu functions 3
فایل کپی کدهای مخرب از اسمی استفاده میکند که باعث گیج شدن کاربران میگردد، حتی اگر آنها در اینترنت به دنبال دستیابی به اطلاعات در مورد این ویروس باشند. در بدافزارهای قبلی این نام مشابه به پروسههای سیستمی مانند csrss.exe بود اما حالا این اسم معمولیتر است و کاربر شک خواهد کرد که آیا این فایل موجه بوده یا یک پروسه مخرب است.
Win32/Remtasu در سال 2016
در هفتههای اول 2016 ما شاهد 24 گونه مختلف در حال توزیع از خانواده این کد مخرب بودهایم و 25{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} از این شناساییها Win32/Remtasu.Y و 23{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} از نوع Win32/Remtasu.O بود. درنتیجه نیمی از شناساییهای این کد مخرب متعلق به دو گونه بوده است.
توزیع گونههای Remtasu
باید گفت که 65{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} از شناساییها Win32/Remtasu در میان کاربران در کشور کلمبیا صورت گرفته است. 6{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} از گونههای Win32/AutoRun.Remtasu.E در تایلند دیده شد و در مکزیک و پرو این آمار به ترتیب 3{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} و 2{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} بوده است. بااینکه نرمافزار امنیتی در شناسایی محتوای مخرب این ویروس کمک میکند باید در زمان کلیک نمودن بر روی لینکها احتیاط لازم را به خرج داد. ESET Labs تحلیل این بدافزار و موارد مشابه به آن را ادامه خواهد داد و اطلاعرسانی خواهد نمود.
