به گزارش  حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، پژوهشگران Cybaze-Yoroi ZLab، به تازگی نمونه بدافزار جدیدی را تحلیل کرده‌اند. مشابه اکثر بدافزارها، این نرم‌افزار مخرب نیز از طریق پیوست ایمیل‌ها منتقل می‌شود. فایل سند پیوست شده invoice.doc نام دارد. سند آفیس مخرب حاوی کد ماکرو مخرب است. تصویر زیر فرایند آلوده‌سازی توسط این بدافزار را نمایش می‌دهد: 

سند مخرب پس از باز شدن از کاربر تقاضا می‌کند تا اسکریپت‌های ماکرو را فعال کند. این کدها بشدت مبهم‌سازی شده‌اند تا از شناسایی آن‌ها جلوگیری شود. کد ماکرو یک رشته متنی را از یک شیء WebClient فراخوانی شده از کنسول PowerShell دریافت می‌کند و آن‌را به عنوان یک فایل تصویر png ذخیره می‌کند.
رمزگشایی این اسکریپت IP سرور کنترل و فرمان (C&C) را نمایان می‌سازد. تابع دیگری در این کد وجود دارد که اطلاعات مرتبط با سیستم قربانی را جمع‌آوری می‌کند. این کد موارد زیر را جمع‌آوری می‌کند:
• اطلاعات سیستم
• آدرس IP رایانه
• وضعیت شبکه
• لیست فرایندهای پردازشی در حال اجرا
• دسترسی‌های موجود
• نام‌های کاربری
• ادمین‌های دامنه
• فایل‌های دسکتاپ
• آنتی‌ویرویس نصب شده در رایانه
تابع دیگری که کشف شده است، حساب‌های ایمیل ثبت شده در رایانه قربانی را جستجو می‌کند. سرور C&C این بدافزار از دسترس خارج شده است. آخرین فعالیت DNS آن به دسامبر ۲۰۱۸ بازمی‌گردد. IP این سرور به عنوان یک IP مخرب نشان‌گذاری شده است. دامنه مرتبط با این سرور، zosmogroel[.]com، تا تاریخ ۱۸ دسامبر ۲۰۱۸ فعال بود است. گواهی مربوط به این دامنه با ۸۰ آدرس IP دیگر نیز مرتبط بوده است. تحلیل بیشتر نشان می‌دهد که از برخی از این IPها برای انتقال نمونه‌های بدافزاری دیگر استفاده شده است.
نمونه تحلیل شده، بدافزار AdvisorsBot است که اولین بار در تاریخ ۲۳ آگوست ۲۰۱۸ توسط ProofPoint تجزیه و تحلیل شد. همچنین، شواهدی وجود دارد که در ماه آگوست گذشته از سرور C&C این بدافزار برای انتقال بدافزار Ursnif/Gozi استفاده شده است.
توصیه می‌شود تا با غیرفعال‌سازی ماکروها در اسناد آفیس و توجه به منبع ایمیل‌های دریافتی، از انتقال این‌گونه بدافزارها جلوگیری شود.

انتهای پیام/