🔰 هشدار به کاربران صرافی نوبیتکس، آبانتتر و رمزینکس
بهتازگی ۳ بدافزار بهنام سه صرافی نوبیتکس، آبانتتر و رمزینکس منتشر شدهاند، که در صورت نصب بر دستگاه کاربر، اطلاعات ورود به حساب صرافی آنها را دریافت و در نهایت میتوانند رمزارزهای آنها را سرقت نمایند.
عملکرد بدافزار
۱. بعد از نصب شدن بدافزار، یک پیام «در حال انتظار» به کاربر نمایش داده شده و اطلاعات دستگاه به سرور مهاجم ارسال میگردد.
۲. سپس درگاه جعلی ورود به صرافی در برنامه بالا میآید که ایمیل و گذرواژهی کاربر را از وی دریافت میکند.
۳. در نهایت کد ۶ رقمی Google Authenticator را هم از کاربر دریافت میکند تا مراحل ورود به حساب صرافی کاربر، تکمیل گردد.
گفتنی است که این بدافزارها با گرفتن مجوز دریافت و خواندن پیامکها، کدهای تایید ارسالی از صرافی را هم سرقت میکنند.
بهتازگی ۳ بدافزار بهنام سه صرافی نوبیتکس، آبانتتر و رمزینکس منتشر شدهاند، که در صورت نصب بر دستگاه کاربر، اطلاعات ورود به حساب صرافی آنها را دریافت و در نهایت میتوانند رمزارزهای آنها را سرقت نمایند.
عملکرد بدافزار
۱. بعد از نصب شدن بدافزار، یک پیام «در حال انتظار» به کاربر نمایش داده شده و اطلاعات دستگاه به سرور مهاجم ارسال میگردد.
۲. سپس درگاه جعلی ورود به صرافی در برنامه بالا میآید که ایمیل و گذرواژهی کاربر را از وی دریافت میکند.
۳. در نهایت کد ۶ رقمی Google Authenticator را هم از کاربر دریافت میکند تا مراحل ورود به حساب صرافی کاربر، تکمیل گردد.
گفتنی است که این بدافزارها با گرفتن مجوز دریافت و خواندن پیامکها، کدهای تایید ارسالی از صرافی را هم سرقت میکنند.
اخیرا تحرکاتی از تیم #APT34 منتصب به ایران، رخ داده است که مبتنی بر آسیب پذیری قدیمی CVE-2017-11882 و CVE-2018-0802 اقدام به پخش ایمیل فیشینگ هایی با محتوای فایل xls و یک دانلودر بدافزار بوده است.
اما در مرحله اجرا یک OLE اجرا میشود که دارای equation data است که در
شلکد اجرایی در اصل یک دانلودر و اجراگر بدافزار است که بواسطه تابع
اما فایل دانلودی یک بدافزار طراحی شده با dotNet است که کاملا مبهم سازی شده بواسطه IntelliLock و Net Reactor. بوده و مهاجم تمامی اسامی ها را مبهم ساخته است.
اما درون این بدافزار مقادیر Encode شده ای قرار دارد که دارای پیلود برای Agent Tesla بوده که بصورت Encode و Compress در Resource Section قرار کرده شده است.
پیلود Agent Tesla با تکنیک Process Hollowing که یک تکنیک برای محافظت از پردازش بدافزار است
@futuresnet
اما در مرحله اجرا یک OLE اجرا میشود که دارای equation data است که در
EQNEDT32.EXE به اجرا در آمده و از آسیب پذیری استفاده کرده و شلدکی را به اجرا در میاورد.شلکد اجرایی در اصل یک دانلودر و اجراگر بدافزار است که بواسطه تابع
URLDownloadToFileW که یک تابع API است تماس گرفته شده و بدافزاری با نام chromium.exe دانلود شده و در %TEMP% با نام desHost.exe ذخیره میشود.اما فایل دانلودی یک بدافزار طراحی شده با dotNet است که کاملا مبهم سازی شده بواسطه IntelliLock و Net Reactor. بوده و مهاجم تمامی اسامی ها را مبهم ساخته است.
اما درون این بدافزار مقادیر Encode شده ای قرار دارد که دارای پیلود برای Agent Tesla بوده که بصورت Encode و Compress در Resource Section قرار کرده شده است.
پیلود Agent Tesla با تکنیک Process Hollowing که یک تکنیک برای محافظت از پردازش بدافزار است
@futuresnet