استفاده از بدافزار Lock PoS برای مخفی ماندن صفحه باتنت Flokibot
تاریخ انتشار: ۲۵ دی ۱۳۹۶ | کد خبر: ۱۶۶۰۰۱۱۸
به گزارش خبرنگار حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان؛ LockPoS بدافزار دستگاههای پوز است که اطلاعات کارتهای اعتباری را تخریب و بهعنوان یک ترفند جدید برای تزریق آرام بدافزار توسط باتنت Flokibot استفاده میشود.
طبق اعلام شرکت Cyberbit (شرکتی است که سازمانهای پرخطر، شرکتهای تجاری و زیرساختهای حیاتی را در مقابل تهدیدات سایبری محافظت میکند) بدافزار LockPoS حافظه فرایندهای در حال اجرا را از سیستمهای کامپیوتری متصل به پایانههای PoS میخواند، اما در ظاهر به نظر میرسد که در حال جستجوی اطلاعات کارتهای اعتباری است.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
بیشتر محصولات ضدویروس در نسلهای بعدی عملکرد ویندوز را در حالت کاربر نظارت خواهند کرد. اما در ویندوز10 فضای کرنل محافظتشده و امکان نظارت بر توابع هسته امکانپذیر نیست. بدافزار LockPoS مانند باتنت Flokibot، بهوسیله موتورهای شناسایی بدافزار بهروز شده است.
طبق ادعای Cyberbit، این رویکرد شامل ایجاد یک بخش امنیت در هسته ویندوز با استفاده از تابع NtCreateSection (یک تابع در API ویندوز Native بانام NtCreateSection وجود دارد. این تابع یک Object جدید ایجاد میکند که در منطقهای از حافظه مشترک بوده و برای نمایش چندین برنامه یا فرایند استفادهشده و میتوان از « views » برای به اشتراک گذاشتن دادههای مشابه در حافظه بدون پیمایش بر یکدیگر استفاده کرد. این تابع از هر دو فضای کاربر و حالت هسته قابلخواندن است) میباشد، همچنین میتواند با فراخوانی تابع NtMapViewOfSection برای نمایش بخشی از فرآیند دیگر، کپی کردن کد در آن بخش و درنهایت ایجاد یک فرمان از راه دور استفاده و از توابع NtCreateThreadEx یا CreateRemoteThread برای اجرای کد مورد نظر خود بهره ببرد.
Hod Gavriel تحلیلگر بدافزار در Cyberbit، در تحلیل فنی خود توضیح داد: "این روش جدید تزریق بدافزار نشان میدهد که این روند میتواند توسعهیافته و باعث ایجاد مشکلات تازهای شود." "در حال حاضر بهترین روش تشخیص بدافزار این است که با تجزیهوتحلیل در حافظه بر روی آن تمرکز شود، با توجه به اینکه این موضوع میتواند از روی حیله باشد، اما این بهترین ردیابی موجود است که در حال حاضر میتواند برای راهحلهای امنیتی قابلدسترس باشد."
انتهای پیام/
منبع: باشگاه خبرنگاران
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.yjc.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «باشگاه خبرنگاران» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۱۶۶۰۰۱۱۸ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
هشدار سایبری: از USB نامطمئن استفاده نکنید، بدافزار خطرناک PlugX در حال گسترش است
به گزارش خبرآنلاین و به نقل از زومیت، میلیونها دستگاه در سراسر دنیا در برابر بدافزار رهاشده PlugX USB آسیبپذیرند. این بدافزار خطرناک، تکثیرپذیر است و ردپای آن در بازهای ۶ ماهه از سپتامبر ۲۰۲۳ (شهریور ۱۴۰۲) در حدود ۲٫۵ میلیون آدرس IP آشکار شده است.
بنا بر گزارش مؤسسهٔ امنیتی سکویا (Sekoia) بیش از ۸۰ درصد از تمامی دستگاههای آلودهشده به بدافزار PlugX USB مربوط به ۱۵ کشور بودهاند که نیجریه، هند، چین، ایران، اندونزی، بریتانیا، عراق و آمریکا بهترتیب در رتبههای اول تا هفتم قرار گرفتهاند. بدافزار PlugX USB درمجموع کامپیوترهای ۱۷۰ کشور را آلوده کرده است.
بدافزارهای USB پیشین، معمولاً کشورهایی را تحت تأثیر قرار میدادند که بین دستگاههای آنها شباهتهایی مشاهده میشد، مثلا بدافزار RETADUP بیشترین نرخ نفوذ به سیستمها را در کشورهای اسپانیاییزبان ثبت کرده بود؛ اما این گفته برای PlugX USB صدق نمیکند.
محققان شرکت سکویا میگویند که بدافزار PlugX USB از طریق دستگاههای ذخیرهسازی یواسبی (فلشمموری) بهراحتی بین سیستمها منتقل میشود. بررسیهای سکویا نشان میدهد که روزانه حدود ۹۰هزار تا صدهزار دستگاه به PlugX USB آلوده میشوند.
سکویا از شرکتهای امنیتی و دولتها درخواست کرده تا از طریق راهکاری خاص که به ارسال دستور متنی وابسته است، به حذف PlugX USB از کامپیوترها کمک کنند؛ اما این راهکار کاملاً کارساز نیست و امکان آلوده شدن مجدد سیستمها وجود دارد؛ زیرا PlugX USB از طریق دستگاههای یواسبی بین سیستمها منتقل میشود.
بدافزار PlugX حداقل از سال ۲۰۰۸ استفاده میشده و عمدتا برای جاسوسی و دسترسی به سیستمها از راه دور کاربرد داشته است. حتی از آن برای حمله به دولتها و سازمانهای سیاسی در آسیا و سپس غرب استفاده شده است. محققان باور دارند که کد منبع PlugX در سال ۲۰۱۵ فاش شده است.
فعلاً راهکار مشخصی برای مقابله با PlugX وجود ندارد. تنها توصیه مفید، آن است که از اتصال دستگاههای ناشناس USB به کامپیوتر خود جلوگیری کنید.
۵۴۵۴
برای دسترسی سریع به تازهترین اخبار و تحلیل رویدادهای ایران و جهان اپلیکیشن خبرآنلاین را نصب کنید. کد خبر 1901335 ذوالفقار دانشی