استفاده از فایل VMware برای عبور از سد ابزارهای امنیتی

به گزارش پایداری ملی، محققان بدافزار بانکی جدیدی را شناسایی کرده‌اند که با بهره‌گیری از یک فایل مجاز متعلق به شرکت VMware از سد ابزارهای امنیتی عبور کرده و خود را بر روی دستگاه قربانی نصب می‌کند.

بر اساس گزارشی که بخش Talos شرکت Cisco آن را منتشر کرده این بدافزار بانک‌هایی در آمریکای جنوبی خصوصاً در برزیل را هدف قرار داده است.

همچنین این بدافزار از تکنیک‌های متعددی برای مخفی ماندن از دید محصولات امنیتی استفاده می‌کند.

روش انتشار بدافزار مذکور از طریق هرزنامه‌هایی به زبان پرتغالی است که در آنها فایلی با نام و پسوند BOLETO_2248_.html پیوست شده است. کلمه Boleto به نوعی فاکتور در برزیل اشاره می‌کند.

در صورت باز شدن فایل مذکور توسط کاربر، صفحه‌ای اینترنتی بر روی دستگاه کابر فراخوان می‌شود. صفحه فراخون شده خود نیز کاربر را به صفحه‌ای دیگر و آن صفحه هم کاربر را مجدداً به صفحه‌ای دیگر هدایت می‌کند. در نهایت پس از سه بار تغییر مسیر اینترنتی فایل BOLETO_09848378974093798043.jar بر روی دستگاه دریافت می‌شود.

در صورت اجرا شدن BOLETO_09848378974093798043.jar توسط کاربر، فرآیند نصب شدن بدافزار بانکی در قالب یک پروسه Java آغاز می‌شود.

در نخستین مرحله کد Java فایل‌های مخرب دیگری را از نشانی hxxp://104[.]236[.]211[.]243/1409/pz.zip دریافت کرده و آنها را در مسیر زیر ذخیره می‌کند:

C:\Users\Public\Administrator

در ادامه کد Java فایل‌های دریافت شده را تغییر نام داده و فایل vm.png را که فایل مجاز و امضاء شده توسط شرکت VMware است اجرا می‌کند.

در این بدافزار فایل مخرب vmwarebase.dll به عنوان فایلی وابسته به vm.png معرفی می‌شود. از آنجا که در بسیاری از محصولات امنیتی چنانچه پروسه‌ای مجاز و قابل اعتماد تعریف شده باشد سایر پروسه‌های ایجاد شده توسط آن نیز بدون بررسی شدن مجاز تلقی می‌شوند، این بدافزار هم از این طریق، پروسه مخرب vmwarebase.dll را به اجرا در می‌آورد.

این تکنیک پیش‌تر نیز توسط بدافزارهایی همچون PlugX نیز مورد استفاده قرار گرفته بودند.

هدف vmwarebase.dll تزریق و اجرای کد مخرب فایل prs.png در یکی از پروسه‌های explorer.exe و notepad.exe است.

همچنین بخش اصلی بدافزار پروسه‌های کنترلی و رصدکننده نظیر taskmgr.exe و msconfig.exe را متوقف می‌کند.

همچنین با تعریف کلیدی با نام مجاز و فریبنده Vmware Base در مسیر زیر در محضرخانه خود را در هر بار راه‌اندازی سیستم بصورت خودکار اجرا می‌کند:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Vmware Base

این بدافزار با رصد کردن عنوان پنجره‌های باز شده، در صورت تطابق آنها با هر یک از موارد درج شده در فهرست نام‌های مورد استفاده مؤسسات مالی و بانکی که در کد بدافزار درج شده اقدام به سرقت اطلاعات وارد شده در سایت‌ها و برنامه‌های بانکی می‌کند.