بدافزار بیگ بنگ با حمله فیشینگ سراسر خاورمیانه را مورد هدف قرار داده است

خدیجه زارعپور
یک‌شنبه, 24 تیر 1397

بدافزار بیگ بنگ با حمله فیشینگ سراسر خاورمیانه را مورد هدف قرار داده است.

بدافزارها و تهدیدات امنیتی همیشه فضای اینترنت را آلوده می‌کنند و همه روزه درباره این بدافزارها اخبار زیادی می‌شوریم.

به تازگی تیم امنیتی Check Point بدافزار جدیدی را کشف کرده‌اند که بیگ بنگ (big bang) نام گرفته است. بنا به گزارشات این تیم امنیتی، گروه جاسوسی APT بدافزار بیگ بنگ (big bang) را برای حمله به سراسر خاورمیانه و با زبان C++ طراحی کرده است.

حمله بدافزاری بیگ بنگ (big bang) با ارسال ایمیل‌های فیشینگ به منطقه مورد هدف انجام می‌شود. به این ایمیل یک فایل آرشیو self-extracting پیوست شده است که در آن یک فایل ورد و یک فایل اجرایی مخرب قرار دارد.

فایل اجرایی مخرب DriverInstallerU.exe نام دارد اما اگر به متادیتا (metadata) این فایل دقت کنید متوجه می‌شوید که این فایل InterenetAssistant.exe نام دارد. زمانی که این فایل اجرا می‌شود، ماژول‌های بدافزار با سرورهای C&C ارتباط برقرار می‌کنند و سپس این ماژول‌ها فعال می‌شوند

ماژول‌های بدافزاری بیگ بنگ

بدافزار بیگ بنگ (big bang) شامل ماژول‌های مختلفی مانند موارد زیر است:

از سیستم قربانی اسکرین‌شات می‌گیرد و آن را به سرور C&C ارسال می‌کند.
نام و شناسه‌های فرایندهای پردازشی در حال اجرا را در فایلی با نام sat.txt ذخیره کرده و آن‌ را به سرور ارسال می‌کند.
لیستی از فایل‌های doc ،odt، xls ،ppt ،pdf و ... قربانی را ارسال می‌کند.
یک فایل با پسوند txt را از یک آدرس اینترنتی دانلود می‌کند، پسوند آن را به exe تغییر می‌دهد و سپس آن را اجرا می‌کند.
جزئیات سیستم را به صورت لاگ به سرور ارسال می‌کند.
سیستم را Reboot می‌کند.
یک فرایند پردازشی را بر اساس نام آن متوقف می‌کند.
بدنه را از startup حذف می‌کند و همچنین فایل اصلی آن را نیز پاک می‌کند.
فایل اجرایی بدافزار را به صورت خودکار پاک می‌کند.
لیستی از پارتیشن‌های موجود در سیستم قربانی را به سرور ارسال می‌کند.

هدف این حمله بدافزاری که از ماه مارس 2018 آغاز شده، هنوز مشخص نشده است اما با توجه به اطلاعاتی که این بدافزار جمع‌آوری می‌کند، احتمالاً مرحله دیگری از این بدافزار از اطلاعات جمع‌آوری شده استفاده خواهد کرد.