ارتباطات و فناوري اطلاعات

انتقال و توزیع بدافزار WhiteShadow از طریق ایمیل‌های فیشینگ

دانلودکننده بدافزار WhiteShadow در پیوست ایمیل‌ها و درون فایل‌های مخرب Word و Excel جاسازی شده است و از طریق کدهای ماکرو Visual Basic به سیستم‌های آلوده منتقل می‌شود.

به‌گزارش روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری به نقل از پایگاه اینترنتی ZDNet، پژوهشگران امنیتی دریافته‌اند که این بدافزار از دستورهای Microsoft SQL برای انتقال payloadهای مخرب استفاده می‌کند .

به گفته پژوهشگران، دانلود کننده بدافزار WhiteShadow برای انتقال انواع بدافزارها به سیستم‌های آسیب‌پذیر به‌کار می‌رود و از طریق کدهای ماکرو Visual Basic به سیستم‌های آلوده منتقل می‌شود.

همچنین بخوانید

زمانی که دستور بارگیری بدافزار توسط WhiteShadow فراخوانی شود، payload مخرب به عنوان یک فایل فشرده PKZip منتقل و نصب payload مخرب در سیستم قربانی براساس پیکربندی‌های ذخیره شده در فایل پیوست درون ایمیل انجام می‌شود.

از جمله بدافزارهایی که توسط WhiteShadow منتقل می‌شود Crimson است که دارای قابلیت‌های سرقت اطلاعات، دریافت اسکرین‌شات از صفحه نمایش، مشاهده لیست فرایندهای پردازشی و استخراج ایمیل از Outlook است.

علاوه بر Crimson، بدافزارهای Nanocore، njRAT، AgentTesla و Formbook نیز توسط WhiteShadow منتقل شده‌اند.

کارشناسان معاونت بررسی مرکز افتا از کاربران می خواهند تا از باز کردن ایمیل‌های مشکوک که از منابع نامعتبر دریافت می‌شوند خودداری کنند و با نظارت بر ترافیک خروجی پورت TCP ۱۴۳۳ یا مسدودسازی آن، از نفوذ بدافزار WhiteShadowجلوگیری کنند .

همچنین بخوانید

دکمه بازگشت به بالا