به گزارش فیسیت، به نقل از سایبران، به‌تازگی بدافزاری مخرب موجب ازکارافتادن دایرکتوری‌های فعال (Active Directory) در بسیاری از سازمان‌ها شده است. با فیسیت همراه باشید.

در سال 2009 کشف شد که بدافزارها پیشرفت‌های متعددی در طول زمان پیدا کرده‌اند. اما یکی از متخصصان آی.بی.ام اظهار کرد، این اولین باری است که تیم امنیتی ما مشاهده کرده که بدافزار Qbot از طریق دایرکتوری‌های فعال برای سازمان‌های مختلف مشکل‌آفرینی کرده است. به نظر می‌رسد تمرکز این بدافزار بر روی کمپین‌های فعلی در ایالات‌متحده، کسب‌وکار خدمات بانکی ازجمله خزانه شرکت بانکداری و بانکداری تجاری است.

محققان متوجه صدها تا هزاران پیام از سوی کاربران شدند که آن‌ها اظهار کرده بودند که دایرکتوری‌های فعال‌شان بی‌دلیل غیرفعال شده است‌. درنتیجه این موضوع موجب شده تا کاربران به سرور شرکت و شبکه خود دسترسی پیدا نکنند.

 بدافزار Qbot به نام‌های دیگری چون (Qakbot،  Quakbotو PinkSlip)  نیز شناخته شده است. بدافزارهای مالی برای هدف قرار دادن کسب‌وکارها و سرقت پول‌های بانک طراحی‌شده‌اند. 

در این حمله اخیر، که دایرکتوری‌ها را هدف قرار می‌دهد سه اقدام مشاهده می‌شود:

اول: صدها تا هزار حساب کاربری را به‌سرعت و با موفقیت قفل می‌کند.

دوم: به‌صورت خودکار در دفعات مختلف وارد حساب کاربری افراد می‌شود.

سوم: فایل‌های اجرایی مخرب را در قسمت اشتراکی شبکه ثبت می‌کند.

با توجه به دوره‌های طولانی عدم فعالیت این بدافزار، Qbot در فهرست خانواده فعال‌ترین نرم‌افزارهای مخرب قرار دارد، باوجوداینکه یکی از قدیمی‌ترین تهدیدات در آن رده است.

از دیگر نکات مهم درباره این بدافزار، تهدیدات چندمنظوره آن است. به‌عنوان‌مثال این بدافزار اقدام به سرقت اطلاعات بانکی کاربران از طریق یک در پشتی و ایجاد (SOCKS proxy) کرده است.

منبع: فیسیت