بدافزار مخفی BLISTER بدون توجه به سیستم‌های ویندوزی وارد می‌شود

محققان امنیتی کمپین مخربی را کشف کرده‌اند که به گواهی امضای کد معتبر برای پنهان کردن کدهای مخرب به عنوان فایل‌های اجرایی قانونی متکی است.

یکی از محموله‌هایی که محققان Blister نامیده‌اند، به‌عنوان بارگیری برای بدافزارهای دیگر عمل می‌کند و به نظر می‌رسد یک تهدید جدید است که از نرخ شناسایی پایینی برخوردار است.
عامل تهدید پشت بلیستر به تکنیک های متعددی برای تحت نظر نگه داشتن حملات خود تکیه کرده است، استفاده از گواهی نامه های امضای کد تنها یکی از ترفندهای آنهاست.
امضا شده، مهر و موم شده، تحویل داده شده است
محققان امنیتی شرکت جستجوی Elastic دریافتند، هر کسی که پشت بدافزار Blister قرار دارد، حداقل از 15 سپتامبر (24 شهریور) حداقل به مدت سه ماه کمپین‌هایی را اجرا کرده است.
با این حال، بازیگر تهدید از یک گواهی امضای رمز استفاده کرد که از 23 آگوست(1شهریور) معتبر است. این توسط ارائه‌دهنده هویت دیجیتال Sectigo برای شرکتی به نام Blist LLC با یک آدرس ایمیل از یک ارائه‌دهنده روسی Mail.Ru صادر شد.
استفاده از گواهینامه های معتبر برای امضای بدافزار ترفندی قدیمی است که عوامل تهدید سال ها پیش آن را آموخته بودند. در آن زمان آنها گواهینامه های شرکت های قانونی را سرقت می کردند. این روزها، بازیگران تهدید با استفاده از جزئیات شرکتی که به خطر انداخته اند یا یک کسب و کار پیشرو، درخواست گواهی معتبر می کنند.

در یک پست وبلاگی در این هفته، Elastic می گوید که آنها به طور مسئولانه گواهی سوء استفاده شده را به Sectigo گزارش کرده اند تا بتوان آن را باطل کرد.
محققان می‌گویند که عامل تهدید به تکنیک‌های متعددی برای شناسایی نشدن حمله متکی بود. یکی از روش ها جاسازی بدافزار Blister در یک کتابخانه قانونی مانند colorui.dll بود.
سپس بدافزار با امتیازات بالاتر از طریق دستور rundll32 اجرا می‌شود. امضا شدن با یک گواهی معتبر و استقرار با امتیازات مدیر باعث می‌شود تا Blister راه‌حل‌های امنیتی را از دست بدهد.
به گفته محققان Elastic، در مرحله بعدی، Blister از کد راه‌اندازی بخش منبع رمزگشایی می‌کند که "به شدت مبهم است". به مدت ده دقیقه، کد به احتمال زیاد در تلاشی برای فرار از تجزیه و تحلیل جعبه شنی غیر فعال می ماند.
این بدافزار با یک کپی در پوشه ProgramData و دیگری با نام rundll32.exe به ماندگاری دست می یابد. همچنین به محل راه‌اندازی اضافه می‌شود، بنابراین در هر بار بوت، به عنوان فرزند explorer.exe راه‌اندازی می‌شود.
در حالی که هدف این حملات ناقل آلودگی اولیه مشخص نیست، با ترکیب گواهی‌های امضای کد معتبر، بدافزارهای تعبیه‌شده در کتابخانه‌های قانونی و اجرای بارهای در حافظه، عوامل تهدید شانس خود را برای یک حمله موفقیت‌آمیز افزایش دادند.

های فن تک از شما دعوت می کند نظرات خود را در مورد این مقاله به اشتراک بگذارید