U3F1ZWV6ZTE1Njg4NDY3OTQ0X0FjdGl2YXRpb24xNzc3Mjg2OTg2NDQ=

قراصنة يطلقون RAT وبرامج التجسس المبهمة لتسجيل ضربات المفاتيح وسرقة كلمات المرور من تطبيقات Windows

قراصنة يطلقون RAT وبرامج التجسس المبهمة لتسجيل ضربات المفاتيح وسرقة كلمات المرور من تطبيقات Windows

إمتثلت هذه الحمولات النافعة لـ AutoIT ، وهى لغة نصية تهدف إلى أتمتة المهام الأساسية في Windows GUI ، والتي يسيء استخدامها مجرمو الإنترنت لتعتيم ثنائي البرمجيات الخبيثة للتهرب من الاكتشاف.
تستخدم تقنية التشويش التلقائي AutoIT (التشويش التلقائى) في تجاوز مرشحات البريد العشوائي وطريقة سهلة لتركيب ملفات ISO الضارة فى إصدار windows الأخير.
اكتشف Trend Micro هذه البرامج الضارة مثل تجسس طروادة Negasteal أو Agent Tesla (  TrojanSpy.Win32.NEGASTEAL.DOCGC ) ، وطرق طروادة الوصول عن بعد (RAT) Ave Maria أو Warzone ( TrojanSpy.Win32.AVEMARIA.T ).
يعتقد الباحثون أن الجهات الفاعلة التي تهدد تقديم هذه الحملة الضارة عبر عنوان بريد الويب للخطر.

عملية العدوى

يتم استخدام رسائل Malspam الإلكترونية بشكل متكرر لتقديم برامج ضارة مبهمة وبريد إلكتروني تم طرحه كمستشار شحنة ووثيقة مالية مع ملف .RAR مرفق.
بمجرد أن يقوم الضحايا بتنزيل المرفق واستخراج الملف ، فإنه يسقط سلالات البرامج الضارة المشوهة تلقائيًا من Negasteal و Ave Maria.
وفقا لأبحاث تريند مايكرو ، فإن تقنية التشويش الآلي AutoIT تحتوي على طبقتين: ثنائيات البرامج الضارة الفعلية محشورة في البرامج النصية AutoIT (.au3) ، وبعد ذلك يتم تجميع النصوص في ملف قابل للتنفيذ باستخدام برنامج التحويل البرمجى AutoIT مثل Aut2Exe.
قراصنة يطلقون RAT وبرامج التجسس المبهمة لتسجيل ضربات المفاتيح وسرقة كلمات المرور من تطبيقات Windows
يمكن استخدام هذا النوع من تقنية التشويش المتعمقة   لتجاوز حل نقطة النهاية بسهولة المزود  بالكشف القائم على السلوك  باستخدام التعلم الآلي دون أي حل أمني.
لاحظ الباحثون أيضًا أن متغير Ave Maria RAT قد أتاح مع المزيد من الوظائف لأداء تجاوز UAC ومعالجة الرموز المميزة لرفع امتيازاتها.
نتيجة لنجاح الإصابة ، تقوم متغيرات Negasteal / Agent Tesla بتسجيل ومراقبة ضربات المفاتيح وكاميرا الويب والتقاط الشاشة ، بالإضافة الى جمع المعلومات المحفوظة على الحافظة. 
كما يسـرق اسم المستخدم وكلمات المرور من بروتوكولات مختلفة مثل HTTP و IMAP و POP3 و SMTP و Windows بما في ذلك تطبيقات Microsoft Outlook و Windows Messaging و Internet Explorer و Google Chrome و Foxmail و Thunderbird و Firefox.
يمكن لـ Ave Maria أيضًا تعديل وإسقاط وإنشاء ملفات عشوائية في نظام معرض للخطر ، بالإضافة إلى تعداد العمليات والملفات والدلائل ومحركات الأقـراص. وقال تريند مايكرو إنه قادر أيضًا على إنهاء العمليات الجارية وحذف الملفات وإلغاء التثبيت نفسه.

مؤشرات الحلول الوسطية (IoCs)

SHA-256 هاش
Bc077b31c61d61d5d077b68b7f0b110efe85d138224f6e0c21145534ec2bab670bcb1b690c08a26d
ليست هناك تعليقات
إرسال تعليق

إرسال تعليق

اذا اعجبك الموضوع علق بتعليق If you like the subject, comment on the comment