اسپمی در حال انتشار تروجانی با دسترسی از راه دور است که از چندین روش برای فریب دادن ضدویروسهای مبتنی بر امضا استفاده میکند.
به گزارش خبرگزاری صدا و سیما به نقل از روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری، اینتروجان که با نام Adwind شناخته میشود، پیشتر صنایع مختلفی را در جهان هدف قرار داده بود و اکنون به toolkit جدیدی مجهز است تا بتواند از سیستمها سوء استفاده کند.
در حملات جدید این بدافزار، سیستمهای ویندوز، لینوکس و مک هدف قرار گرفتهاند.
این تروجان که همچنین با نامهای AlienSpy، JSocket و jRat نیز شناخته میشود قادر است اطلاعات رایانه و کلیدهای فشرده شده کاربران را جمع آوری کند و همچنین اطلاعات احراز هویت و اطلاعات ارسال شده از طریق فرمهای وب را نیز به سرقت ببرد.
بدافزار Adwind همچنین قادر است ویدئو و صدا را ضبط کند، اسکرینشات بگیرد و فایلهای سیستم را بدون اطلاع کاربران منتقل کند.
نسخههای جدیدتر این تروجان برای دسترسی به کیف پول مجازی در سیستمهای آلوده اقدام به سرقت کلیدهای رمزنگاری میکند.
این تروجان که از طریق عملیات فیشینگ منتقل میشود حداقل با ۴۰۰ هزار حمله علیه کسب و کارها در امور مالی، تولید، حمل و نقل و صنعت مخابرات مرتبط بوده است.
در عملیات فیشینگ پیامهای مخرب حاوی فایلهای CSV و XLT (هر دو به صورت پیشفرض با نرمافزار اکسل باز میشوند) ارسال میشوند.
فایلهای مخرب دارای یک یا دو dropper هستند که از تزریق DDE بهره میبرند و از پسوندهای مختلفی از جمله htm، xlt، xlc و db استفاده میکند.
پژوهشگران Cisco Talos میگویند که تکنیک جدیدی برای مبهمسازی در حملات بدافزار Adwind استفاده شده است تا برنامههای ضدویروس به اشتباه بیفتند و در واقع ضد ویروس به جای تشخیص فایل مخرب به عنوان یک dropper، آن را به عنوان یک فایل خراب تشخیص میدهد.