• info@arka.ir
  • تماس با ما: ۰۲۱۹۱۰۷۰۴۷۶ - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷
1 مه 2021
یک بدافزار لینوکس تازه کشف‌شده با قابلیت درِ پشتی، سال‌هاست که به مهاجمان اجازه می‌دهد اطلاعات حساس دستگاه‌های آسیب‌دیده را جمع‌آوری و استخراج کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، درِ پشتی که توسط محققان آزمایشگاه تحقیقات امنیت شبکه Qihoo ۳۶۰ (۳۶۰ Netlab) به RotaJakiro نام‌گذاری شده است، توسط VirusTotal قابل‌شناسایی نیست، اگرچه یک نمونه برای نخستین‌بار در سال ۲۰۱۸ بارگذاری شده بود.
https://www.virustotal.com/gui/file/a۱۸bec۹۰b۲b۶۱۸۵۳۶۲eeb۶۷c۵۱۶c۸۲dd۳۴cd۸f۶a۷۴۲۳۸۷۵۹۲۱۵۷۲e۹۷ae۱۶۶۸b۰/details

RotaJakiroبه‌گونه‌ای طراحی شده که تا آنجا که ممکن است به‌صورت پنهانی کار می‌کند، کانال‌های ارتباطی خود را با استفاده از فشرده‌سازی ZLIB و رمزگذاری AES ، XOR ، ROTATE رمزگذاری می‌کند.

همچنین تمام تلاش خود را انجام می‌دهد تا تحلیل گران بدافزار آن را فارنزیک نکنند زیرا اطلاعات منابع موجود در نمونه مشاهده شده توسط سیستم BotMon ۳۶۰ Netlab با استفاده از الگوریتم AES رمزگذاری شده است.

در سطح عملیاتی، RotaJakiro ابتدا با استفاده از خط‌مشی‌های مختلف اجرا برای حساب‌های مختلف، تعیین می‌کند که کاربر Root یا غیرRoot باشد، سپس منابع حساس مربوطه را با استفاده از AES & ROTATE رمزگشایی می‌کند تا برای ماندگاری، محافظت از پردازش، استفاده از یک instance و در نهایت ارتباط با C۲ بمنظور اجرای دستورات صادر شده توسط C۲ استفاده شود.

مهاجمان می‌توانند از RotaJakiro برای نفوذ در اطلاعات سیستم و داده‌های حساس، مدیریت پلاگین‌ها و فایل‌ها و اجرای پلاگین‌های مختلف در دستگاه‌های ۶۴ بیتی لینوکس که در معرض خطر هستند، استفاده کنند.

با این حال، ۳۶۰ Netlab هنوز به نیت واقعی سازندگان بدافزار برای ابزار مخرب خود پی نبرده است، زیرا این کار با افزونه‌هایی که روی سیستم‌های آلوده نصب می‌کند، قابل‌مشاهده نیست.

محققان افزودند: RotaJakiro در کل از ۱۲ عملکرد پشتیبانی می‌کند، سه مورد مربوط به اجرای افزونه‌های خاص است. متأسفانه، هیچ‌گونه دید نسبت به این افزونه‌ها وجود ندارد و بنابراین هدف واقعی آن مشخص نیست.

از سال ۲۰۱۸ که اولین نمونه RotaJakiro روی VirusTotal قرار گرفت، ۳۶۰ Netlab چهار نمونه مختلف را که بین ماه می ۲۰۱۸ تا ژانویه ۲۰۲۱ بارگذاری شده بودند( اینجا )یافت که هیچ آلودگی روی آنها توسط آنتی‌ویروس‌ها شناسایی نشده است.

سرورهای C&C که درگذشته توسط بدافزار مورد استفاده قرار گرفته‌اند دامنه‌هایی دارند که ۶ سال پیش در دسامبر ۲۰۱۵ ثبت شده‌اند.
محققان ۳۶۰ Netlab همچنین لینک‌هایی را به بات‌نت Torii IoT کشف کردند که اولین‌بار توسط متخصص بدافزار Vesselin Bontchev مشاهده شد و توسط تیم اطلاعات تهدید Avast در سپتامبر ۲۰۱۸ مورد تجزیه و تحلیل قرار گرفت.

این دو نوع بدافزار RotaJakiro و Torii پس از استقرار در سیستم‌های در معرض خطر، از روش‌های ساخت مشابه و ثابت‌هایی که توسط هر دو توسعه‌دهنده استفاده شده، بهره می‌برند.

RotaJakiro و Torii همچنین دارای چندین شباهت عملکردی هستند، ازجمله استفاده از الگوریتم‌های رمزگذاری برای پنهان کردن منابع حساس، اجرای یک سبک پایدار قدیمی و ترافیک شبکه ساختاریافته.

مرجع : مرکز مدیریت راهبردی افتا
4 آوریل 2021

کلاهبرداری جدیدی در اینستاگرام رایج شده که با ارسال پیامی جعلی ادعا می‌شود فرد قوانین کپی‌رایت را نقض کرده تا اطلاعات ورود به حساب کاربری وی سرقت شود.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اینستاگرام با بیش از یک‌میلیارد کاربر فعال در معرض خطر هک اطلاعات قرار دارد. به همین دلیل به کاربران هشدار داده شده نسبت به پیام‌های غیر معمول در بخش پیام‌های خصوصی (DM) احتیاط کنند.

این شبکه اجتماعی از کلاهبرداری جدیدی خبر داده که هم اکنون در جریان است و هکرها با ارسال پیامی جعلی اطلاعات ورود به حساب کاربری افراد را سرقت می‌کنند.

به‌طور دقیق‌تر در این فرایند هکرها پیامی جعلی برای کاربر ارسال می‌کنند که به نظر می‌رسد از Instagram Copyright Help Center به‌دلیل نقض قوانین کپی‌رایت فرستاده شده است. البته اینستاگرام تأیید کرده هیچ‌گاه به‌دلیل نقض قوانین کپی‌رایت برای کاربرانش پیام مستقیم ارسال نمی‌کند. همچنین این شبکه اجتماعی توصیه کرده کاربران روی لینک‌های موجود در پیام کلیک نکنند.

اینستاگرام در توئیتر نسبت به این کلاهبرداری به کاربرانش هشدار داد. در متن این پیام جعلی آمده است: در یکی از پست‌های حساب کاربری شما قانون کپی‌رایت نقض شده است. اگر معتقدید این امر درست نیست باید بازخورد مناسب در این باره فراهم کنید. در غیر این صورت حساب کاربری شما در ۲۴ ساعت بسته می‌شود.

همچنین در این پیام کاربران ترغیب می‌شوند تا روی لینکی کلیک کنند که در آن از افراد خواسته می‌شود نام کاربری و رمز خود را وارد کنند. به این ترتیب کلاهبرداران به اطلاعات خصوصی افراد دسترسی می‌یابند.