⚠️ تروجان بانکی Zeus Sphinx با سوء استفاده از نگرانی جهانی از بحران همهگیری کووید ۱۹ در حال انتشار است.
این بدافزار بر پایه کد افشا شده نسخه ۲ تروجان معروف Zeus ساخته شده است. Zeus Sphinx که با نامهای Zloader و Terdot نیز شناخته میشود اولین بار در سال ۲۰۱۵ در جریان اجرای حملاتی بر ضد بانکهای آمریکایی شناسایی شد. اما برای سالها به استثنای چند مورد سایبری فعالیت چشمگیری از Zeus Sphinx گزارش نشد.
🔴 اکنون مدتی است که این تروجان مجدداً در حملات بر ضد بانکها و همچنین در موارد مرتبط با بیماری کووید ۱۹ فعالیت آن از سر گرفته شده است.
در ماه مارس، IBM از اجرای موجی از حملات خبر داد که در آنها تروجان در اسناد فیشینگ مخفی شده و از طریق ایمیل منتشر میشد. در آن حملات اینطور وانمود میشد که ایمیل حاوی اطلاعاتی مرتبط با کمک مالی در خصوص بیماری کووید ۱۹ است.
بررسیهای IBM نشان میدهد که این بدافزار در نتیجه ارتقاهای مستمر مستحکمتر و قدرتمندتر از قبل شده است.
این بدافزار از طریق پیوست مخربی که در آن از قربانی خواسته میشود که ماکرو را فعال کند به سیستم راه پیدا میکند. بهمحض اجرا، بدافزار اقدام به ایجاد یک کلید Run در Windows Registry برای ماندگار کردن و اجرای خودکار خود در هر بار راهاندازی سیستم میکند.
ایجاد کلید Run روشی بسیار رایج برای ماندگار کردن پروسه مخرب بر روی دستگاه آلوده است که Zeus Sphinx از ابتدای پیدایش از آن استفاده میکرده است. Zeus Sphinx خود را در قالب یک فایل اجرایی یا یک DLL مخرب توزیع میکند.
همچنین Zeus Sphinx یک پروسه مستقل با نام msiexec.exe که عنوان آن برای مخفی نگاه داشتن ماهیت مخرب بدافزار برگرفته از یک برنامه معتبر با همین نام است ایجاد میکند.
در ژانویه ۲۰۲۰، نمونههایی از بدافزار از فهرستی متغیر از سرورهای فرماندهی (C&C) و یک کلید RC۴ برای رمزگذاری ارتباطات باتنت استفاده میکردند.
اما نمونههای اخیر بدافزار با شناسهای جدید، شامل مجموعهای متفاوت از کلیدهای RC۴ و یک مجموعه کوچکتر اما متفاوت از سرور فرماندهی (C&C) هستند.
همچنین Zeus Sphinx از یک مولد اعداد شبه تصادفی (Pseudo-random Number Generator – به اختصار PRNG) به نام MT۱۹۹۳۷ برای ایجاد تغییر در نامهای فایل و منابع دستگاه آلوده با هدف عبور از سد محصولات امنیتی مبتنی بر اسکن static استفاده میکند.
جزییات بیشتر در مورد نسخه جدید Zeus Sphinx در لینک زیر:
https://securityintelligence.com/posts/zeus-sphinx-back-in-business-some-core-modifications-arise/
این بدافزار بر پایه کد افشا شده نسخه ۲ تروجان معروف Zeus ساخته شده است. Zeus Sphinx که با نامهای Zloader و Terdot نیز شناخته میشود اولین بار در سال ۲۰۱۵ در جریان اجرای حملاتی بر ضد بانکهای آمریکایی شناسایی شد. اما برای سالها به استثنای چند مورد سایبری فعالیت چشمگیری از Zeus Sphinx گزارش نشد.
🔴 اکنون مدتی است که این تروجان مجدداً در حملات بر ضد بانکها و همچنین در موارد مرتبط با بیماری کووید ۱۹ فعالیت آن از سر گرفته شده است.
در ماه مارس، IBM از اجرای موجی از حملات خبر داد که در آنها تروجان در اسناد فیشینگ مخفی شده و از طریق ایمیل منتشر میشد. در آن حملات اینطور وانمود میشد که ایمیل حاوی اطلاعاتی مرتبط با کمک مالی در خصوص بیماری کووید ۱۹ است.
بررسیهای IBM نشان میدهد که این بدافزار در نتیجه ارتقاهای مستمر مستحکمتر و قدرتمندتر از قبل شده است.
این بدافزار از طریق پیوست مخربی که در آن از قربانی خواسته میشود که ماکرو را فعال کند به سیستم راه پیدا میکند. بهمحض اجرا، بدافزار اقدام به ایجاد یک کلید Run در Windows Registry برای ماندگار کردن و اجرای خودکار خود در هر بار راهاندازی سیستم میکند.
ایجاد کلید Run روشی بسیار رایج برای ماندگار کردن پروسه مخرب بر روی دستگاه آلوده است که Zeus Sphinx از ابتدای پیدایش از آن استفاده میکرده است. Zeus Sphinx خود را در قالب یک فایل اجرایی یا یک DLL مخرب توزیع میکند.
همچنین Zeus Sphinx یک پروسه مستقل با نام msiexec.exe که عنوان آن برای مخفی نگاه داشتن ماهیت مخرب بدافزار برگرفته از یک برنامه معتبر با همین نام است ایجاد میکند.
در ژانویه ۲۰۲۰، نمونههایی از بدافزار از فهرستی متغیر از سرورهای فرماندهی (C&C) و یک کلید RC۴ برای رمزگذاری ارتباطات باتنت استفاده میکردند.
اما نمونههای اخیر بدافزار با شناسهای جدید، شامل مجموعهای متفاوت از کلیدهای RC۴ و یک مجموعه کوچکتر اما متفاوت از سرور فرماندهی (C&C) هستند.
همچنین Zeus Sphinx از یک مولد اعداد شبه تصادفی (Pseudo-random Number Generator – به اختصار PRNG) به نام MT۱۹۹۳۷ برای ایجاد تغییر در نامهای فایل و منابع دستگاه آلوده با هدف عبور از سد محصولات امنیتی مبتنی بر اسکن static استفاده میکند.
جزییات بیشتر در مورد نسخه جدید Zeus Sphinx در لینک زیر:
https://securityintelligence.com/posts/zeus-sphinx-back-in-business-some-core-modifications-arise/
Security Intelligence
Zeus Sphinx Back in Business: Some Core Modifications Arise
With Zeus Sphinx back in the financial cybercrime arena, IBM X-Force is providing a technical analysis of the Sphinx Trojan's current version, which was first released in the wild in late 2019.
futures Network
تکنولوژی cable free هواوی
فناوری CableFree هواوی سرعت توسعه فناوری نگاهی به برخی دستاوردهای فناوری CableFree پوششدهی باند بلند بالا: شبکه ۵G از یک باند فرکانسی بسیار بالا استفاده میکند. از طرفی به منظور پوششدهی مناسب یک منطقه، باید آنتنها را بلند طراحی کرد. به طور همزمان پوشش شبکه ۵G باید توسط باندهای فرکانس چندگانه هماهنگ شود. اگر ۱.۸ گیگاهرتز / ۲.۱ گیگاهرتز و دیگر باندهای فرکانسی به عنوان کانال مخابراتی مورد استفاده قرار بگیرند، پوشش فرکانس بالا نقش مهمی در تداوم تجربه خوب ۵G ایفا خواهد کرد. فناوری CableFree راندمان تابش آنتن را تا حدود ۲۰ درصد بهبود داده و میزان کیفیت پوششدهی را بالاتر میبرد. برآورده شدن نیاز به انرژی و فرکانس بالاتر: در عصر توسعه نسل پنجم شبکه موبایل، نیازهای با ظرفیت و سرعت بالا به طیف بیشتر و MIMO بالاتر نیاز دارند. توان بار آنتن در این شرایط از پنج یا ششصد وات به بیش از یک کیلووات افزایش پیدا خواهد کرد. فناوری CableFree هواوی ظرفیت انرژی آنتن را حدود ۸۰ درصد افزایش داده و نیاز به برق زیاد حین تبادل حجم انبوهی از داده را برآورده میکند. وزن سبک و آسودگی در نصب: یکپارچه و فشرده شدن کامپوننتهای آنتنهای مبتنی بر فناوری جدید وزن آنها را کاهش میدهد. به عنوان نمونه وزن یک آنتن ۶ بانده حدود ۱۰ کیلوگرم کاهش پیدا خواهد کرد. وزن آنتن کنترل باند چندگانه حدود ۵۰ کیلوگرم است. کاهش وزن سبب میشود اپراتورها برای نصب آنتنها نیازی به جرثقیل نداشته باشند، در نتیجه توسعه شبکه در مناطق مختلف سرعت خواهد گرفت. بهبود عملکرد PIM آنتن: تکنولوژی CableFree تا ۸۰ درصد پیچهای داخلی و اتصالات جوش آنتن را کاهش میدهد، به همین دلیل ریسک PIM کاهش پیدا خواهد کرد. منظور از PIM مدولاسیون دامنه سیگنالی حاوی دو یا چند فرکانس متفاوت است. بالاتر رفتن سرعت در خطوط تولید آنتنها از دیگر مزیتهای کاهش این را به شدت افزایش میدهد
@futuresnet
@futuresnet
⚠️ شناسایی ۲۷ برنامه دانلودر در دسته برنامههای هواشناسی ایرانی، با بیش از ۱۱۳ هزار کاربر
این برنامهها با استفاده از سرویس ارسال هشدار، اقدام به دانلود (نصب تضمینی) سایر برنامههای مخرب میکنند.
نمایش تبلیغات تلگرامی، اینستاگرامی، باز کردن صفحه برنامههای مختلف در فروشگاهها یا باز کردن صفحات نظرات آنها و... از دیگر اقدامات مخرب این برنامهها است.
🔴 این برنامهها در فروشگاههای اندرویدی داخلی منتشر شدهاند، هرچه سریعتر نسبت به حذف آنها از دستگاه خود اقدام فرمایید.
این برنامهها با استفاده از سرویس ارسال هشدار، اقدام به دانلود (نصب تضمینی) سایر برنامههای مخرب میکنند.
نمایش تبلیغات تلگرامی، اینستاگرامی، باز کردن صفحه برنامههای مختلف در فروشگاهها یا باز کردن صفحات نظرات آنها و... از دیگر اقدامات مخرب این برنامهها است.
🔴 این برنامهها در فروشگاههای اندرویدی داخلی منتشر شدهاند، هرچه سریعتر نسبت به حذف آنها از دستگاه خود اقدام فرمایید.
futures Network
⚠️ انتشار کد اکسپلویت SMBGhost
⚠️ انتشار کد اکسپلویت SMBGhost
این آسیبپذیری بحرانی که بانامهای مختلفی ازجمله SMBGhost، CoronaBlue، NexternalBlue و BluesDay شناخته میشود، میتواند برای انتشار بدافزار از یک سیستم آسیبپذیر به سایر سیستمها، بدون نیاز به تعامل کاربر، توسط یک مهاجم احراز هویت نشده، استفاده شود.
آسیبپذیری SMBGhost نسخههای ۱۹۰۹، ۱۹۰۳ و همچنین Server Core ویندوز ۱۰ را تحت تأثیر قرار میدهد. مایکروسافت در ماه مارس patch آسیبپذیری را منتشر کرد و هشدار داد که سوءاستفاده از آن در نسخههای جدیدتر و قدیمیتر ویندوز نیز محتمل است.
یک مهاجم برای سوءاستفاده از آسیبپذیری کافی است تا یک بسته دستکاریشده را به یک سرور SMBv۳ ارسال کند. نتیجه حملات سوءاستفاده کننده از این آسیبپذیری مشابه حملات WannaCry و NotPetya در سال ۲۰۱۷ خواهد بود که از اکسپلویت EternalBlue برای SMB v۱ استفاده کردند.
پس از افشا عمومی آسیبپذیری در ماه مارس، پژوهشگران امنیتی شروع به یافتن راهی برای سوءاستفاده از SMBGhost کردند اما نتایج آنها به مواردی چون افزایش دسترسی محلی (LPE) و blue screen محدود شد. مجرمین سایبری نیز با امکان افزایش دسترسی محلی و انتقال بدافزارها ازجمله تروجان دسترسی از راه دور Ave Maria باقابلیت keylogging و سرقت اطلاعات، از آسیبپذیری سوءاستفاده کردند.
تقریباً سه ماه پس از انتشار patch مایکروسافت، یک پژوهشگر امنیتی نسخهای از کد اکسپلویت از نوع اجرای کد از راه دور برای آسیبپذیریSMBGhost را بهطور عمومی به اشتراک گذاشت. کد منتشرشده توسط این پژوهشگران بهطور کامل قادر به اجرای کد از راه دور نیست اما در برخی موارد موفقیتآمیز بوده است. علاوه بر این، چندین شرکت امنیتی نیز پیشتر اعلام کرده بودند که به کد اکسپلویت اجرای کد از راه دور با سوءاستفاده از آسیبپذیری SMBGhost دستیافتهاند.
با توجه به اینکه کد اکسپلویت این آسیبپذیری بهطور عمومی منتشرشده است، توصیه میشود تا با مسدودسازی پورتهای SMB و اعمال patchهای منتشرشده از سوی مایکروسافت، نسبت به رفع آسیبپذیری اقدام شود.
https://www.exploit-db.com/exploits/48537
@futuresnet
این آسیبپذیری بحرانی که بانامهای مختلفی ازجمله SMBGhost، CoronaBlue، NexternalBlue و BluesDay شناخته میشود، میتواند برای انتشار بدافزار از یک سیستم آسیبپذیر به سایر سیستمها، بدون نیاز به تعامل کاربر، توسط یک مهاجم احراز هویت نشده، استفاده شود.
آسیبپذیری SMBGhost نسخههای ۱۹۰۹، ۱۹۰۳ و همچنین Server Core ویندوز ۱۰ را تحت تأثیر قرار میدهد. مایکروسافت در ماه مارس patch آسیبپذیری را منتشر کرد و هشدار داد که سوءاستفاده از آن در نسخههای جدیدتر و قدیمیتر ویندوز نیز محتمل است.
یک مهاجم برای سوءاستفاده از آسیبپذیری کافی است تا یک بسته دستکاریشده را به یک سرور SMBv۳ ارسال کند. نتیجه حملات سوءاستفاده کننده از این آسیبپذیری مشابه حملات WannaCry و NotPetya در سال ۲۰۱۷ خواهد بود که از اکسپلویت EternalBlue برای SMB v۱ استفاده کردند.
پس از افشا عمومی آسیبپذیری در ماه مارس، پژوهشگران امنیتی شروع به یافتن راهی برای سوءاستفاده از SMBGhost کردند اما نتایج آنها به مواردی چون افزایش دسترسی محلی (LPE) و blue screen محدود شد. مجرمین سایبری نیز با امکان افزایش دسترسی محلی و انتقال بدافزارها ازجمله تروجان دسترسی از راه دور Ave Maria باقابلیت keylogging و سرقت اطلاعات، از آسیبپذیری سوءاستفاده کردند.
تقریباً سه ماه پس از انتشار patch مایکروسافت، یک پژوهشگر امنیتی نسخهای از کد اکسپلویت از نوع اجرای کد از راه دور برای آسیبپذیریSMBGhost را بهطور عمومی به اشتراک گذاشت. کد منتشرشده توسط این پژوهشگران بهطور کامل قادر به اجرای کد از راه دور نیست اما در برخی موارد موفقیتآمیز بوده است. علاوه بر این، چندین شرکت امنیتی نیز پیشتر اعلام کرده بودند که به کد اکسپلویت اجرای کد از راه دور با سوءاستفاده از آسیبپذیری SMBGhost دستیافتهاند.
با توجه به اینکه کد اکسپلویت این آسیبپذیری بهطور عمومی منتشرشده است، توصیه میشود تا با مسدودسازی پورتهای SMB و اعمال patchهای منتشرشده از سوی مایکروسافت، نسبت به رفع آسیبپذیری اقدام شود.
https://www.exploit-db.com/exploits/48537
@futuresnet
Exploit Database
Microsoft Windows - 'SMBGhost' Remote Code Execution
Microsoft Windows - 'SMBGhost' Remote Code Execution. CVE-2020-0796 . remote exploit for Windows platform
⚠️ شناسایی ۲۲۳ تبلیغافزار با عنوان مذهبی، با بیش از ۶۵۰ هزار کاربر
🔴 عناوین این برنامهها که در یکی از فروشگاههای اندرویدی داخلی منتشر شدهاند، عبارتند از: ادعیه، احکام، استخاره، زیارت، رمضان، شب قدر، صحیفه و نهجالبلاغه
۱۹۰ برنامه دارای کد دانلودر هستند (میتوانند بدون اطلاع کاربر به دانلود برنامههای دیگر بپردازند).
۳۳ برنامه نیز با استفاده از سرویس ارسال هشدار به تبلیغات تلگرامی و اینستاگرامی میپردازند.
🔴 عناوین این برنامهها که در یکی از فروشگاههای اندرویدی داخلی منتشر شدهاند، عبارتند از: ادعیه، احکام، استخاره، زیارت، رمضان، شب قدر، صحیفه و نهجالبلاغه
۱۹۰ برنامه دارای کد دانلودر هستند (میتوانند بدون اطلاع کاربر به دانلود برنامههای دیگر بپردازند).
۳۳ برنامه نیز با استفاده از سرویس ارسال هشدار به تبلیغات تلگرامی و اینستاگرامی میپردازند.
🔰 هشدار به کاربران صرافی نوبیتکس، آبانتتر و رمزینکس
بهتازگی ۳ بدافزار بهنام سه صرافی نوبیتکس، آبانتتر و رمزینکس منتشر شدهاند، که در صورت نصب بر دستگاه کاربر، اطلاعات ورود به حساب صرافی آنها را دریافت و در نهایت میتوانند رمزارزهای آنها را سرقت نمایند.
عملکرد بدافزار
۱. بعد از نصب شدن بدافزار، یک پیام «در حال انتظار» به کاربر نمایش داده شده و اطلاعات دستگاه به سرور مهاجم ارسال میگردد.
۲. سپس درگاه جعلی ورود به صرافی در برنامه بالا میآید که ایمیل و گذرواژهی کاربر را از وی دریافت میکند.
۳. در نهایت کد ۶ رقمی Google Authenticator را هم از کاربر دریافت میکند تا مراحل ورود به حساب صرافی کاربر، تکمیل گردد.
گفتنی است که این بدافزارها با گرفتن مجوز دریافت و خواندن پیامکها، کدهای تایید ارسالی از صرافی را هم سرقت میکنند.
بهتازگی ۳ بدافزار بهنام سه صرافی نوبیتکس، آبانتتر و رمزینکس منتشر شدهاند، که در صورت نصب بر دستگاه کاربر، اطلاعات ورود به حساب صرافی آنها را دریافت و در نهایت میتوانند رمزارزهای آنها را سرقت نمایند.
عملکرد بدافزار
۱. بعد از نصب شدن بدافزار، یک پیام «در حال انتظار» به کاربر نمایش داده شده و اطلاعات دستگاه به سرور مهاجم ارسال میگردد.
۲. سپس درگاه جعلی ورود به صرافی در برنامه بالا میآید که ایمیل و گذرواژهی کاربر را از وی دریافت میکند.
۳. در نهایت کد ۶ رقمی Google Authenticator را هم از کاربر دریافت میکند تا مراحل ورود به حساب صرافی کاربر، تکمیل گردد.
گفتنی است که این بدافزارها با گرفتن مجوز دریافت و خواندن پیامکها، کدهای تایید ارسالی از صرافی را هم سرقت میکنند.