پژوهشگران امنیتی یک ترویان جدید کشف کردهاند که به سرقت دادهها میپردازد. این ترویان از ابزارهای USB استفاده میکند تا خود را گسترش دهد و هیچ ردی از فعالیت خود بر روی سیستمهای آلوده به جا نمیگذارد.
طبق اعلام ESET نام انتخاب شده برای آنUSB Thief یا Win32/PSW.Stealer.NAI است. سازندهی دژافزار برنامههای ویژهای را برای محافظت USB Thief از بازساخته شدن و کپی به کار برده تا تشخیص و مهندسی معکوس آن را سختتر کند.
طبق گفتهی Tomáš Gardoň تحلیل گر دژافزار شرکت،USB Thief برای حملات با هدف سیستمهای کامپیوتری ایزوله که از اینترنت جدا هستند طراحی شده است.
ترویان USB Thief
این ترویان به صورتDynamically Linked Library (DLL)a مورد استفاده در برنامههای پرتابل و یا plugin source این برنامهها در ابزار ذخیره سازی USB ذخیره میشود. ابزارهای USB اغلب حاوی برنامههای پرطرفدار مانند Notepad++, Firefox یا TrueCrypt portable هستند، زمانی که یکی از این برنامهها اجرا شد، دژافزار شروع به اجرا در پیش زمینه میکند.
طبق توضیحات Peter Stancik، کارشناس امنیتی شرکت ESET، “با توجه به اینکه سازمانها بعضی سیستمهای خود را به دلایل امنیتی ایزوله میکنند، هر ابزاری که بتواند به این سیستمهای معروف به air-grapped حمله کند باید به عنوان خطرناک در نظر گرفته شود.”
این دژافزار از روی ابزار USB اجرا میشود بنابراین هیچ ردی از فعالیت خود به جای نمیگذارد و به همین دلیل قربانیها حتی متوجه نمیشوند که اطلاعات آنها به سرقت رفته است و از آنجایی که دژافزار به یک ابزار USB محدود است، نمیتواند از طریق کامپیوترهای آلوده شده منتقل شود.
USB Thief از یک پیاده سازی پیچیدهی چند مرحلهای رمزکردن استفاده میکند که تشخیص و تحلیل آن را سخت کرده است.
به گفتهی Stancik ، “این روشی معمول برای سرقت اطلاعات نیست و بسیار خطرناک است. افراد باید خطر ابزارهای ذخیرهای از منابع غیر مطمئن را درک کنند.”
راهکارهای جلوگیری از آلودگی
- ابزارهای ذخیرهای USB از منابع غیر مطمئن را استفاده نکنید
- Autorun را خاموش کنید
- به صورت دورهای پشتیبان گیری کنید
اطلاعات فنی بیشتر در وبلاگ رسمی ESET موجود است.
منبع
http://thehackernews.com/2016/03/usb-drive-malware.html
ثبت ديدگاه