یک بدافزار Fileless جدید، سازمان‌ها و بانک‌ها را هدف قرار داده است.

بیش از ۱۰۰ بانک و مؤسسه مالی در سراسر جهان توسط یک بدافزار خطرناکِ پیچیده و بر پایه حافظه آلوده شدند و محققان هشدار دادند که این بدافزار قابل شناسایی نیست.

یک گزارش تازه منتشر شده از طرف شرکت امنیتی روسی کاسپرسکی[۱] نشان می‌دهد که مهاجمان بانک‌ها، شرکت‌های مخابراتی و سازمان‌های دولتی را در ۴۰ کشور در ایالات‌متحده، آمریکای جنوبی، اروپا و آفریقا توسط بدافزار Fileless که به تنهایی بر روی حافظه کامپیوترهای در معرض خطر می‌نشیند، مورد هدف قرار داده‌اند.

بدافزار Fileless که در ابتدا توسط همین شرکت امنیتی در سال ۲۰۱۴ کشف شد تا به امروز فعال نشده بود.

بدافزار Fileless بخشی از یک نرم‌افزار مخرب است که برای اجرا شدن هیچ‌گونه فایل یا فولدری را بر روی هارد درایو کپی نمی‌کند. به جای این کار، payload ها به صورت مستقیم بر روی حافظه فرآیندهای در حال اجرا تزریق می‌شوند و این بدافزار بر روی RAM سیستم مورد نظر اجرا می‌شود.

ازآنجایی‌که این بدافزار بر روی حافظه اجرا می‌شود، هنگامی‌که سیستم راه‌اندازی مجدد می‌شود، استفاده از حافظه بلااستفاده می‌شود و این امر پیدا کردن ردی از این بدافزار را برای متخصصان بررسی‌های دیجیتالی سخت می‌کند.

این حمله در ابتدا توسط یک تیم امنیتی بانکی پس از پیدا کردن یک کپی از Meterpreter که یک جزء in-memory متعلق به Metasploit است، در داخل حافظه فیزیکی یک کنترل‌کننده دامنه مایکروسافت کشف شد.

پس از انجام یک تجزیه و تحلیل دقیق، محققان کاسپرسکی متوجه شدند که مهاجمان PowerShell ویندوز را مجبور کرده بودند که یک کد Meterpreter را به صورت مستقیم بر روی حافظه بارگذاری کند به جای اینکه آن را بر روی دیسک بنویسد.

کلاه‌برداران سایبری همچنین از ابزار NETSH networking متعلق به مایکروسافت استفاده کرده بودند تا یک تونل پروکسی برای ارتباط برقرار کردن با سرور command and control راه‌اندازی کرده تا بتوانند از راه دور میزبان آلوده شده را کنترل کنند.

آن‌ها همچنین دستورات PowerShell را در رجیستری ویندوز پنهان کرده بودند تا تمامی ردهای باقی‌مانده از حملات را در log ها و بر روی هارد درایو پس از راه‌اندازی مجدد سیستم به حداقل رسانده تا تشخیص و آنالیز حمله را توسط محققان سخت کنند.

هدف نهایی مهاجمان ظاهراً دسترسی پیدا کردن به کامپیوترهای در معرض خطر و کنترل ATMها و درنهایت دزدیدن پول بوده است.

برنامه محققان آزمایشگاه کاسپرسکی این است که جزئیات بیشتری در ارتباط با این حمله را در ماه آوریل ۲۰۱۷ منتشر کنند که در مقیاس صنعتی و در سراسر جهان رخ داده است.

این حمله در حال حاضر بیش از ۱۴۰ شبکه سازمانی در بخش‌های کسب‌وکار که بیشترین قربانیان آن‌ها در ایالات‌متحده، فرانسه، اکوادور، کنیا، انگلستان و روسیه قرار دارند را مورد هدف قرار داده است. ازآنجاکه این حمله به‌سختی قابل شناسایی است، تعداد واقعی شبکه‌های آلوده شده بیش از این مقدار است.

منابع

[۱] https://securelist.com/blog/research/77403/fileless-attacks-against-enterprise-networks/

[۲] http://thehackernews.com/2017/02/fileless-malware-bank.html