هکرها میتوانند بدافزارها را حتی در فایل گزارش رویداد ویندوز مخفی کنند
گزارش رویداد ویندوز در تشخیص مشکلات امنیتی رایانههای شخصی به کاربران کمک میکند؛ بااینحال، محققان کسپرسکی با هکری مواجه شدهاند که از گزارش رویداد علیه هدف خود استفاده کرده است.
بهگزارش Techspot، هفتهی گذشته کسپرسکی تجزیهوتحلیل مفصلی از حملهی پیچیدهای منتشر کرد که پاییز گذشته آغاز شد. این روش شامل ترکیبی از تکنیکها و نرمافزارهای مختلف بود؛ اما محققان امنیتی این شرکت استفاده از گزارش رویدادهای ویندوز را بهعنوان چیزی کاملاً جدید برجسته کردند.
در مرحلهای از کمپین هک، شخص مهاجم کد پوسته را در گزارش رویدادهای ویندوز هدف وارد کرد. این روش ذخیرهی بدافزار کاملاً مخفیانه است؛ زیرا هیچ فایلی برای شناسایی آنتیویروس باقی نمیگذارد.
همچنین، این کمپین شامل مجموعهی بزرگی از نرمافزارهای تجاری و خانگی بود. این مورد شامل ربودن فایل DLL، یک تروجان، پوششهای ضدتشخیص، تقلید دامنهی وب و... بود. مهاجم در این روش حتی برخی از نرمافزارهای سفارشی خود را شخصا امضا کرد تا قانونیتر بهنظر برسد.
مقیاس و منحصربهفرد بودن حمله نشان میدهد برای سیستم هدف خاصی طراحی شده است. اولین مرحله شامل مهندسی اجتماعی بود که در آن، مهاجم قربانی را متقاعد کرد که فایلی rar را از وبسایت اشتراکگذاری فایل قانونی File.io دانلود و اجرا کند.
کسپرسکی نتوانست این حمله را به هیچ مظنون شناختهشدهای ارتباط دهد یا هدف نهایی آن را تعیین کند. بااینحال، محققان به BleepingComputer اعلام کردند حملات مشابه معمولاً با هدف گرفتن دادههای ارزشمند قربانی انجام میشوند.
نظرات