LOADING CLOSE

بررسی بدافزار Remtasu- دزد حساب‌های Facebook

هکری که روش هک Facebook را آشکار کرد

بررسی بدافزار Remtasu- دزد حساب‌های Facebook

بررسی بدافزار Remtasu- دزد حساب‌های Facebook

شرکت تحقیقات امنیتی ESET Labs در سال گذشته مطالعاتی بر روی توزیع بدافزار Remtasu انجام داد و هشدار داد که این تهدید در حال گسترش و فعالیت بیشتر است. گونه Win32/Remtasu.Y این بدافزار بیشتر در آمریکای لاتین فعال است اما در ترکیه، تایلند و کشورهای دیگر دیده‌شده است.  یکی از ابزارهای کار این تهدید روشی مخرب برای دریافت اسم رمز حساب‌های کاربری Facebook می‌باشد.
تغییرات در مهندسی اجتماعی
تا سال گذشته اکثر حملات نوع فیشینگ (Phishing) مانند DIAN، Avianca و Falabella از طریق یک ایمیل دارای لینک  و یا ضمیمه مخرب بود که اسامی آنها حساب و صورت‌حساب بود و ظاهر آنها در قالب فایل‌های Microsoft Office می‌بود.  این نوع تهدیدها هنوز وجود دارند اما حالا ESET مکانیزم های مهندسی اجتماعی جدیدی را کشف کرده است که از طریق شبکه‌های اجتماعی مانند فیس بوک عمل می‌کنند و بر اساس نیاز مستمر اکثریت کاربران برای “در دست داشتن کنترل در شبکه فیس بوک” عمل می‌کنند.

remtasu1

برنامه هک فیس بوک 1

این فایل‌ها مانند خانواده بدافزار سال گذشته هستند، اما روش توزیع آنها تغییر کرده است. این بدافزار از طریق ایمیل توزیع نمی‌شود و مستقیم از سایت‌ها دانلود می‌گردد. با دانلود شدن و اجرا آن توسط کاربر، داده‌ها را مجرمین سایبری دریافت می‌کنند و سیستم شما نقض می‌گردد.
یکی از نمونه‌های که ESET مطالعه نمود دقیقاً با روش‌های بالا اجرا شد. یکی از مشخصه‌های یافته شده در این بدافزار UPX compression بود.

remtasu2
برنامه هک فیس بوک 2

پس‌ازاینکه فایل از حالت فشرده باز شد، عملکردهای اجراشده در کد مخرب بدافزار قابل‌رؤیت بوده و ابعاد آن نمایان می‌شود.

 

remtasu3

Rematsu  functions 1

برای مثال، این‌گونه مشخصات خاصی برای باز کردن و دریافت اطلاعات از clipboard کاربر دارد. علاوه بر دسترسی به این اطلاعات، این کد مخرب قادر است که keystroke ها و تمام داده‌ها را در یک فایل ثبت کند و به سرور FTP خود ارسال نماید.

 

 remtasu4
Rematsu  functions 2

این ویروس درصدد باقی ماندن در سیستم حتی پس از Reboot و تلاش کاربر بر پیدا این تهدید در لیست پروسه‌های فعال (active processes) می‌باشد. بدافزار کپی خود را در پوشه‌ای در system32 قرار می‌دهد و این پوشه جدید InstallDir در فایل‌های سیستمی پنهان می‌ماند و به‌راحتی در دسترس کاربر نخواهد بود.

 remtasu5
Rematsu  functions 3

فایل کپی کدهای مخرب از اسمی استفاده می‌کند که باعث گیج شدن کاربران می‌گردد، حتی اگر آنها در اینترنت به دنبال دست‌یابی به اطلاعات در مورد این ویروس باشند. در بدافزارهای قبلی این نام مشابه به پروسه‌های سیستمی مانند csrss.exe بود اما حالا این اسم معمولی‌تر است و کاربر شک خواهد کرد که آیا این فایل موجه بوده یا یک پروسه مخرب است.
Win32/Remtasu در سال 2016
در هفته‌های اول 2016 ما شاهد 24 گونه مختلف در حال توزیع از خانواده این کد مخرب بوده‌ایم و 25{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} از این شناسایی‌ها Win32/Remtasu.Y و 23{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} از نوع Win32/Remtasu.O بود. درنتیجه نیمی از شناسایی‌های این کد مخرب متعلق به دو گونه بوده است.

 

 remtasu6
توزیع گونه‌های Remtasu

باید گفت که 65{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} از شناسایی‌ها Win32/Remtasu  در میان کاربران در کشور کلمبیا صورت گرفته است. 6{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} از گونه‌های Win32/AutoRun.Remtasu.E در تایلند دیده شد و در مکزیک و پرو این آمار به ترتیب 3{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} و 2{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} بوده است. بااینکه نرم‌افزار امنیتی در شناسایی محتوای مخرب این ویروس کمک می‌کند باید در زمان کلیک نمودن بر روی لینک‌ها احتیاط لازم را به خرج داد. ESET Labs تحلیل این بدافزار و موارد مشابه به آن را ادامه خواهد داد و اطلاع‌رسانی خواهد نمود.

دیدگاهتان را بنویسید