بدافزارها

بدافزار Emotet
۲۷ اسفند ۱۳۹۸

بدافزار Emotet

بدافزار Emotet که در دسته تروجان‌ها قرار می‌گیرد، این بدافزار برای اولین بار در سال ۲۰۱۴ مشاهده شد و در ابتدا برای مقاصد بانکی و سرقت اطلاعات حساس سیستم قربانی مثل گذرواژه‌ها طراحی شده بود. در نسخه‌های بعدی، این بدافزار قادر بود تا از طریق هرزنامه، سیستم قربانی را به بدافزارهای دیگری نیز آلوده کند. عملکرد منحصر به فرد Emotet باعث می‌شود تا از دید بسیاری از آنتی‌ویروس‌ها مخفی بماند. این بدافزار با ویژگی کرم‌گونه‌ای که دارد به سرعت در کامپیوترهای تحت یک شبکه منتشر می‌شود.

عملکرد و روش انتشار بدافزار

Emotet در ابتدا از طریق هرزنامه‌ها منشر می‌شد. ایمیل‌هایی که حاوی اسکریپت‌های مخرب، ماکروهای فعال در اسناد آفیس و یا لینک‌های آلوده هستند. ماکروها پس از فعال‌سازی، سربار بدافزار را با استفاده از دستورات PowerShell در سیستم قربانی بارگذاری می‌کنند. سپس کامپیوتر آلوده شروع به ارسال پیام‌های مخرب به سایر کامپیوترها کرده و آن‌ها را به سایر بدافزارها مثل TrickBot (سربار دوم) آلوده می‌کند. در ادامه، مهاجم از طریق سربار دوم قادر خواهد بود تا اطلاعات حساس سیستم قربانیان از قبیل گذرواژه‌ها و حساب‌های کاربری را به سرور کنترل و فرمان (C&C) بدافزار ارسال نماید. بدافزار Emotet از روش‌های مهندسی اجتماعی مثل ترغیب کاربران برای کلیک بر روی لینک‌های آلوده نیز برای سرعت بخشیدن به انتشار خود بهره می‌برد.

این بدافزار از روش‌های متنوعی برای جلوگیری از شناسایی یا تحلیل توسط متخصصین بدافزارها استفاده می‌کند. برای مثال اگر یک بدافزار Emotet را داخل یک ماشین مجازی یا یک سندباکس اجرا کنید، در حالت غیرفعال (اصطلاحاً خفته) باقی می‌ماند و اجرا نمی‌شود. این بدافزار از طریق سرور کنترل و فرمان (C&C) که گاها با سیستم به‌روزرسانی ویندوز یکپارچه است و به سختی شناسایی می‌گردد، به‌روزرسانی شده و تغییرات جدید را دریافت می‌کند. شکل زیر چرخه انتشار بدافزار Emotet از طریق لینک آلوده و یا پیوست‌های مخرب درون هرزنامه‌ها را نشان می‌دهد:

آخرین تغییرات

همانطور که اشاره شد، نسخه‌های جدید بدافزار Emotet علاوه بر ویژگی ذاتی خود که همان سرقت اطلاعات حساس سیستم است، سایر بدافزارها را نیز بر روی سیستم قربانیان نصب می‌کنند. تروجان بانکی TrickBot و باج‌افزار Ryuk در پی حملات Emotet بر روی رایانه‌های بسیاری از قربانیان این بدافزار مشاهده شده‌ است. در ماه‌های اولیه سال ۲۰۲۰ با گسترش بیماری همه‌گیر کرونا در سراسر جهان و انتشار اخبار مربوط به آن که باعث ایجاد ترس و وحشت در بین مردم دنیا شد، برخی از گروه‌های سایبری از این فرصت برای رسیدن به مقاصد شوم خود استفاده کردند. رخدادهای این‌گونه به مهاجمین اجازه می‌دهد تا تأثیرات مخرب بدافزار را افزایش دهند چراکه بدافزار Emotet قادر است تا پیام خود را مطابق با هرآنچه که ممکن است توجه کاربر را به خود جلب کند، تطبیق دهد. محققان کسپرسکی برای اولین بار در اواخر ژانویه ۲۰۲۰ اسناد مرتبط با ویروس کرونا که به بدافزار Emotet آلوده بودند را شناسایی کردند. بدافزار Emotet این بار خود را در قالب اطلاعیه‌های عمومی بهداشت و راه‌های مبارزه با ویروس کرونا معرفی کرده بود. محتوای ایمیل در خصوص شیوع سریع ویروس کرونا هشدار داده و کاربران را تشویق به دانلود پیوستی حاوی اقدامات پیشگیرانه کرده بود. اولین موج حمله، کشور ژاپن را هدف قرار داد، اما محققان امنیتی پیش‌بینی کرده‌اند که این حملات به زودی در سایر کشورها نیز مشاهده خواهد شد.

راهکارها

از آنجایی که بدافزار Emotet امروزه به یک مکانیسم تهدیدآمیز تبدیل شده است توصیه می‌گردد تا کلیه کاربران ضمن به‌روزرسانی مداوم سیستم‌عامل و نرم‌افزارهای نصب شده بر روی آن، از گشودن ایمیل‌های ارسال شده از منابع ناشناس خصوصاً آن‌هایی که حاوی پیوست می‌باشند خودداری نموده و با هوشیاری لازم در خصوص تکنیک‌های مهندسی اجتماعی، در مواجهه با این‌گونه تهدیدات، شایسته‌تر عمل کنند.

آرمان داده پویان نمایندگی پلاتینیوم کسپرسکی در ایران


تازه ترین ها