
به گزارش خبرنامه پیامپرداز، شرکت امنیتی Fortinet هشداری منتشر کرده است که به باج افزار sage که در اوایل سال جاری ظاهر شد، قابلیتهای جدیدی اضافه شده است که منجر شده فرار از تجزیه و تحلیل و افزایش امتیازات در این باجافزار فعال شود.
این بدافزار در اوایل سال ۲۰۱۷ میلادی بسیار فعال بود، اما در ۶ ماه گذشته، فعالیت قابل توجهی نداشته است. با این حال، محققان امنیتی Fortinet هشدار میدهند که در ماه مارس امسال نمونههای مشابهی با یک Sage یافت شده که قابلیتهای افزایش امتیازات و فرار از تجزیه و تحلیل را دارا بوده است.
با توزیع شدن از طریق رایانامههای حاوی هرزنامه و با پیوستهای مخرب جاوا اسکریپت، Sage نیز متوجه شد که زیرساختهای توزیع مشابهی را با باجافزار Locky به اشتراک گذاشته است. همچنین مشاهده شد که این بدافزار از طریق پروندههای اسناد با ماکروهای مخرب توزیع شده است. این بدافزار وسیلههای نفوذ دامنههای .info و .top را برای تحویل بدافزار بهکار میگیرد.
این بدافزار از الگوریتم رمزنگاری ChaCha20 برای رمزنگاری پروندههای قربانی و افزودن پسوند .sage به آنها استفاده میکند. باج افزار sage از آلوده کردن رایانههایی که دارای صفحهی کلید بلاروس، قزاق، ازبک، روسی، اوکراین، ساخا و لتونی هستند، اجتناب میکند.
با نگاهی به کد Sage متوجه میشویم که اکثر رشتهها در تلاش برای پنهان کردن رفتار مخرب، رمزنگاری شدهاند. Fortinet کشف کرده است که نویسندگان از الگوریتم رمزنگاری ChaCha20 برای رمزنگاری استفاده کردهاند و هر رشتهی رمزنگاری شده، کلید رمزگشایی هاردکد خود را دارد.
علاوه بر این، در صورتیکه این بدافزار برای تجزیه و تحلیل بر روی یک جعبه شنی یا دستگاه مجازی بارگیری شود، انواع روشهیا تحلیل را برای کشف این موضوع به کار میگیرد.
این تهدید تمام فرآیندهای فعال بر روی دستگاه را شمارش کرده، برای هرکدام از آنها یک عبارت درهمسازی محاسبه میکند و سپس درهمسازیها را در برابر یک فهرست هاردکدشده از فرآیندهای فهرست سیاه بررسی میکند. همچنین در صورتیکه شامل رشتههایی مانند sample، malw، sampel، virus، {sample’s MD5} و{samples’s SHA1} باشد، تمام مسیرهایی که بدافزار اجرا شده و به پایان میرسد را نیز بررسی مینماید.
نوع جدید باج افزار sage برای تعیین کردن، نامهای رایانه و کاربر را نیز در صورتیکه آنها را با فهرست نامهای مورد استفاده در محیط جعبهشنی مطابقت دهد، بررسی میکند. همچنین از دستورالعمل CPUID x86 برای دریافت اطلاعات پردازنده و مقایسهی آن فهرستی از شناسههای CPU فهرست سیاه، استفاده میکند.
علاوه بر اینها، این باجافزار بررسی میکند که آیا یک ضدبدافزار بر روی رایانه اجرا میشود (با بررسی فرآیندهایی که تحت مدیریت Service Control Manager اجرا میشوند) و آن را در برابر مجموعهای از آدرسهای MAC لیست سیاه بررسی میکند.
همچنین مشخص شد که باجافزار Sage میتواند با بهرهبرداری از یک آسیبپذیری وصلهشدهی هستهی ویندوز با شناسهی (CVE-2015-0057) و یا با بهرهبرداری از eventvwr.exe و به سرقت بردن رجیستری برای دور زدن کنترل حساب کاربر (UAC)، امتیاز خود را افزایش دهد.
یادداشت باج به ۶ زبان دیگر ترجمه شده است که نشان میدهد نویسنده ممکن است در آینده، کشورهای بیشتری را هدف قرار دهد. قربانیان برای دسترسی به یک وبگاه onion با استفاده از مرورگر تور هدایت شده و برای خرید «نرمافزار رمزگشای SAGE» باج به مبلغ ۲ هزار دلار را پرداخت میکنند.
گفتنی است زبانهایی که در حال حاضر این باجافزار از آنها پشتیبانی میکند شامل زبانهای انگلیسی، ایتالیایی، آلمانی، فرانسه، اسپانیایی، پرتغالی، هلندی، چینی، کرهای، عربی و فارسی است.
منبع: وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات