حمله ای دیگر به خاور میانه

بدافزار BaneChant در قالب یک فایل Word منتشر می شود که دارای نام “اسلام جهاد” (با حروف الفبای عربی/فارسی) است. به همین دلیل نیز احتمال داده می شود که فعالیت این بدافزار با کشورهای عربی و خاورمیانه مرتبط باشد. این بدافزار بر روی سیستم های قربانی، اقدام به جمع آوری اطلاعات و ارسال آن به مرکز فرماندهی می کند. همچنین یک درب مخفی (Back-door) جهت دسترسی های غیرمجاز بعدی، بر روی سیستم آلوده ایجاد می کند.

محتوای فایل، دستورات و فرامین مخرب اصلی را در خود ندارد ولی بر روی سیستم قربانی، بطور هوشمندانه اقدام به دریافت و اجرای فایل های مخرب مختلفی می کند. پس از آنکه کاربر، فایل Word را باز می کند، این بدافزار فعال شده و با استفاده از یک نشانی اینترنتی کوتاه شده (Shortened URL)  و با کمک سرویس ow.ly (کوتاه کننده نشانی های URL)، بطور غیرمستقیم با مرکز کنترل و فرماندهی خود ارتباط برقرار می کند. بدین روش، بدافزار بطور مستقیم به نشانی اینترنتی مرکز فرماندهی مراجعه نمی کند و در نتیجه باعث ایجاد حساسیت و توجه ابزارهای امنیتی بر روی سیستم قربانی نمی شود. پس از ارتباط با مرکز فرماندهی، این بدافزار اقدام به دریافت فایلهای مخرب اصلی می کند.

از جمله ترفندهای جالب بدافزار BaneChant پنهان کردن فعالیت های مخرب خود از دید امکانات امنیتی “جعبه شنی” (sandbox) در نرم افزارهای مختلف، نظیر مرورگرها، است. بدافزار در حالت سکون باقی می ماند تا زمانی که کلیک کردن کاربر را تشخیص دهد. به محض کلیک کردن موشواره، بدافزار زنده شده و فعالیت خود را انجام می دهد. بدین روش، بدافزار سعی دارد تا فعالیت و عملیات خود را بعنوان یک اقدام توسط کاربر و وابسته به کلیک موشواره نشان دهد تا امکانات امنیتی sandbox را فریب دهد. در محیط sandbox کلیک کردن و موشواره دخالتی نمی توانند داشته باشند و در نتیجه کنترل و بررسی عمل مخرب بدافزار در این محیط قرنطینه، عقیم می ماند. برای اینکار، حتی تعداد کلیک های کاربر توسط بدافزار شمارش شده و مطابق با آن، برخی عملیات مخرب انجام می شود.

نظیر بسیاری از حملات هوشمندی که طی سال گذشته شاهد آنها بوده ایم، در طراحی و این بدافزارهای هدفمند از نقاط ضعف و حفره های امنیتی انواع نرم افزارهای کاربردی مانند Office و Acrobat Reader سوء استفاده می شود تا شرایط اولین رخنه و نفوذ به سیستم قربانی فراهم گردد و پس از آن، اقدام مخرب بعدی صورت گیرد.

ضدویروس های McAfee و Bitdefender بدافزار BaneChant را که UpClicker نیز نامیده می شود، به همراه همه فایلهای مخرب مرتبط با آن، تشخیص داده و شناسایی می کنند.

اطلاعات بیشتر و دقیقتر درباره عملکرد بدافزار BaneChant را می توان بر روی سایت شرکت امنیتی FireEye مطالعه کرد.