اخبار > کشف پویش فیشینگ توزیع بدافزار Adwind

یک پویش فیشینگ جدید که نسخه‌ی Jsocket از بدافزار Adwind (که AlienSpy نیز نامیده می‌شود) را توزیع می‌کند در ماه اکتبر شناسایی شد و همچنان در حال فعالیت است. بدافزار Adwind و نسخه‌های مختلف آن حداقل از سال ۲۰۱۲ میلادی شناسایی شده‌اند. این بدافزار یک درب پشتی است که می‌تواند روی چندین بستر اجرا شده و چند بدافزار دیگر را نیز نصب کند، و به فعالیت‌هایی مثل سرقت اطلاعات، ثبت کلیدهای فشرده‌شده، ثبت صفحه‌ی نمایش، ضبط ویدئو و صدا بپردازد و پیکربندی‌های خود را به‌روزرسانی کند.

آزمایشگاه کسپرسکی این بدافزار را این‌گونه تعریف می‌کند: «این بدافزار به صورت علنی و در قالب یک سرویس پرداختی توزیع می‌شود، و مشتریان در ازای استفاده از این برنامه‌ی مخرب هزینه پرداخت می‌کنند. تا آخر سال ۲۰۱۵ میلادی این سامانه حدود ۱۸۰۰ نفر کاربر داشت. این مسأله باعث شده است که این بدافزار به یکی از بزرگترین‌ بسترهای بدافزار موجود تا امروز تبدیل شود.»

پویش کنونی توسط یک شرکت آگاهی امنیتی به نام KnowBe۴ شناسایی شده و توسط مدیرعامل این شرکت، Stu Sjowerman، از طریق یک پست وبلاگی گزارش شده است. شرکت KnowBe۴ یک برنامه در اختیار مشتریان خود قرار داده است که از طریق آن می‌توانند هنگامی‌که یک رایانامه ی مشکوک دریافت کردند با کلیک بر روی آن هم KnowBe۴ و هم گروه امنیتی این شرکت را مطلع کنند.

پژوهش‌گر امنیتی، Sjowerman، نوشت: «در اوایل ماه اکتبر ما متوجه شدیم که تعداد رایانامه‌های فیشینگ گزارش‌شده توسط مشتریان که حاوی ضمیمه‌هایی با پسوند .JAR (جاوا) هستند، افزایش یافته است. رایانامه‌های فیشینگ با چنین ضمیمه‌های نشانه‌ای از بدافزار Adwind هستند.» مسأله‌ی ناامید‌کننده این است که اندازه‌ی این پویش جدید مشخص نیست، زیرا شرکت KnowBe۴ اطلاعات خود را عمدتا از طریق مشتریانی که برنامه‌ی این شرکت را نصب کرده‌اند، به دست آورده است.

با این حال، با این‌که بدافزار Adwind به عنوان یک سرویس فروخته می‌شود، اما همچنین می‌تواند در هر زمانی به‌وسیله‌ی یک پویش بزرگ جدید یا حتی توسط چندین مجرم سایبری با استفاده از پیکربندی‌های متفاوت با قابلیت‌های متفاوت توزیع شود. در فوریه‌ی سال ۲۰۱۶ میلادی آزمایشگاه کسپرسکی تخمین زد که تا پایان سال ۲۰۱۵ میلادی تقریبا ۴۴۳ هزار کاربر توسط بدافزار Adwind آسیب‌دیده‌اند.

در ماه جولای سال ۲۰۱۷ میلادی، تِرندمیکرو اعلام کرد که یک پویش Adwind در ماه ژانویه با شناسایی ۵۲۸۶ مورد آغاز شد و یک رشد ۱۰۷ درصدی بین ماه‌های مِی و ژوئن اتفاق افتاد و ۱۱۷۶۴۹ مورد در ماه ژوئن شناسایی شد. اگر این الگو تکرار شود، چیزی که شرکت KnowBe۴ با عنوان «افزایش تعداد رایانامه‌های فیشینگ گزارش‌شده توسط مشتریان» اعلام کرده است، می‌تواند آغاز یک پویش Adwind جدید و بزرگ باشد.

Sjowerman اظهار کرد: «تمام رایانامه‌های فیشینگ این پویش از عنوان «خطوط و طرح‌های مهندسی اجتماعی با تمرکز بر اسناد کسب و کار روزمره و فُرم‌های مرتبط: فاکتورها،سفارشات خرید، دستورالعمل‌های پرداخت، قرارداد، و RFQها (درخواست‌هایی برای پیشنهاد قیمت).» استفاده می‌کنند. ظاهرا این پویش به جای مصرف‌کننده‌ها، کسب و کارها را هدف قرار داده است. این بسیار شبیه به هشداری است که در ماه دسامبر سال ۲۰۱۵ میلادی توسط شرکت McAfee در رابطه با بدافزار Adwind صادر شده بود؛ در این پویش رایانامه‌های فیشینگ عناوینی مثل «یادداشت اعتباری برای وجوه واریزنشده‌ی فاکتور»، «PO#۹۳۹۴۲۳» و «Re: Payment/TR COPY-Urgent» مورد استفاده قرار می‌دادند.»

شرکت KnowBe۴ دو نمونه رایانامه‌ی فیشینگ ارائه می‌کند. در نمونه‌ی اول بارداده در پرونده‌ی .JAR قرار دارد. در این نمونه، بلوک‌های Outlook با دسترسی به این ضمیمه به طور بالقوه ناامن می‌شوند. در نمونه‌ی دوم، بار داده در یک پرونده‌ی زیپ قرار گرفته‌ و توسط Outlook مسدود نشده است. شرکت KnowBe۴ درباره‌ی این‌که تفاوت بین این دو نمونه‌ی رایانامه، و تفاوت‌های ادبی بین محتواهای رایانامه‌ها، آیا نشان‌دهنده‌ی این هستند که این رایانامه‌های فیشینگ توزیع بدافزار Adwind از طرف چندین گروه نفوذ ارسال می‌شوند یا خیر، اظهار نظری نکرده است.

Sjowerman به طور ویژه درباره‌ی توانایی ضدبدافزارها برای تشخیص و مسدود کردن بدافزار Adwind اظهار نگرانی کرد. او گفت: «با این‌که ما می‌توانیم بگوییم که تشخیص‌ موتورهای ضدبدافزار با گذشت زمان بهبود یافته‌ است، اما این موتورها هنوز در سطحی نیستند که به طور کامل بتوان به آن‌ها اعتماد کرد؛ حتی پس از گذشت هفته‌ها از شناسایی اولیه‌ی این بدافزار، نمونه‌هایی که ما در سامانه‌ی VirusTotal آزمایش کردیم، فقط توسط ۱۶ تا ۲۴ موتور یعنی حدود ۲۶ تا ۴۰ درصد (از مجموع ۶۰ موتور) شناسایی شدند.»

این پژوهش‌گر تأیید  می‌کند که سامانه‌ی VirusTotal دقیقا عملکرد واقعی یک محصول ضدبدافزار را منعکس نمی‌کند. وی افزود: «شایان ذکر است که در حال حاضر بیشتر محصولات ضدبدافزار نقاط انتهایی از قابلیت‌های تشخیص رفتاری مبتنی‌بر تخمین استفاده می‌کنند و این قابلیت‌ها به این محصولات اجازه می‌دهند که حفاظتی فراتر از موتورهای سنتی و مترکز بر محتوا، فراهم کنند.»

با این حال، بیشتر نگرانی این پژوهش‌گر ناشی از قابلیت‌های ضدتشخیص موجود در بدافزار Adwind است. این قابلیت‌های ضدتشحیص راه‌کارهای تشخیص بدافزار از جمله راه‌کارهای تشخیص جعبه‌ی شنی؛ راه‌کارهای تشخیص، غیرفعال و حذف کردنِ موجود در ابزارهای امنیتی و ضدبدافزار‌های مختلف؛ دستور و کنترل‌های محافظت‌شده با TLS؛ و راه‌کارهای تشخیص اشکال‌زدایی و ضد مهندسی اجتماعی را دور می‌زنند.

این پژوهش‌گر می‌گوید: «بیشتر برنامه‌های حفاظتی مبتنی‌بر رفتار که در محصولات ضدبدافزار وجود دارند، پس از این‌که پرونده‌های مخرب در سامانه‌ی پرونده قرار گرفته و اجر شدند، شروع به کار می‌کنند؛ و با توجه به این‌که خود بدافزار Adwind دارای ابزارهای بسیار تهاجمی برای شناسایی، خنثی کردن، و حذف انواع ابزارهای امنیتی است، بهترین رویکرد برای مقابله با یک تهدید پیشرفته مانند Adwind این است که در مرحله‌ی اول از بارگیری و اجرای آن جلوگیری شود.» به طور خلاصه، بهترین راه پیش‌گیری از بدافزار Adwind استفاده از دیواره‌ی آتش انسانی یعنی آگاهی کاربران است.