بدافزار هنکیتور (Hancitor) چگونه اطلاعات را سرقت می‌کند؟

[mesterweb]

بدافزار هنکیتور (Hancitor) با دیگر نام‌های Chanitor یا TorDal یک بدافزار از نوع دانلودر است که تقریبا از سال ۲۰۱۴ پدیدار شده است.

بدافزار هنکیتور که به صورت یک سند ورد آلوده و عمدتا با استفاده از پیوست کردن این فایل به پیام‌های پست الکترونیکی منتشر می‌شود، نسخه‌های متفاوتی دارد که از طریق ضمیمه‌های فایل مخرب انتشار می‌یابد و بدافزارهای ویژه سرقت داده‌ها را منتشر می‌کند.

دانلودرها پس از استقرار در سیستم قربانی، با سرورهای C2 خود تماس برقرار کرده و تروجان‌ها، بات‌ها و دیگر انواع بدافزار را دانلود و نصب می‌کنند.

در ماه می، محققان Proofpoint اعلام کردند که ظهور مجدد هنیکتور را مشاهده کردند.

این دانلودر خاص سه قابلیت اساسی دارد: دانلود فایل exe از یک url و اجرای آن، دانلود یک DLL از یک url و اجرای آن بدون نوشتن آن روی دیسک و در عوض نوشتن آن مستقیما برروی فضای حافظه دانلودر، حذف خود دانلودر.

هر یک از این دستورات ممکن است پس ارسال یک درخواست به سرور C2 از طرف دانلودر، دریافت شوند. این درخواست شامل اطلاعات شناسایی منحصربه‌فرد قربانی است و مهاجم را قادر می‌کند تا به سادگی قربانیان را کنترل کند.

سناریوی آلودگی

دانلودر هنکیتور تا زمان فعالیت کمپین اصلی در ژوئن ۲۱۱۲، تقریباً فعالیتی نداشته اما طی هفته‌های اخیر، در زمان انجام تحقیقات افزایش چشمگیری در ارسال خانواده بدافزار هنکیتور مشاهده شده است.

در عین حال، گزارش‌هایی از دیگر شرکت‌ها و محققان امنیتی مبنی بر فعالیت مشابه دریافت شده است. این بدافزار دانلودر، از طریق ضمیمه‌های فایل مخرب انتشار می‌یابد و بدافزارهای ویژه سرقت داده‌ها (مانند Pony و Vawtrak) را منتشر می‌کند.

البته به گفته محققان، شیوه‌ تحویل داده‌های واقعی (Payload) بدافزار هنکیتور با نسخه‌های قبلی آن متفاوت است.

جالب‌ترین تکنیک مربوط به توانایی بدافزار هنکیتور برای پنهان کردن فرمان‌های مخرب PowerShell است. به گفته محققان، زمانی که کاربر ماکروها را فعال کند، درواقع راهی برای ایجاد فرمان PowerShell باز خواهد کرد.

این بدافزار قطعات کد را برای سرهم‌بندی و تولید فرمان ترکیب می‌کند. بنا بر ادعای این محققان هکرها از اندازه فونت بسیار کوچک «۱» برای پنهان کردن متن PowerShell استفاده می‌کنند که تشخیص آن را بسیار دشوار می‌کند.

تشابهات بدافزار هنکیتور با دیگر بدافزارها

در ماه می، اندکی پس از اینکه هنکیتور برای اولین مرتبه بروز شد، Ruckguv در حال دانلود Vawtrak مشاهده شد. آخرین مرتبه‌ای که این دانلودر مشاهده شد، در دسامبر ۲۱۱۱ بود که بار مفید Crytowall را بارگذاری می‌کرد.

از آخرین مرتبه‌ای که دانلودر در داده‌های ProofPoint مشاهده شده، Ruckguv نیز تغییرات اساسی کرده و به‌روز شده است. تغییرات قابل توجه و خصوصیات جدید بدافزار عبارتند از اینکه بار مفید دانلودشده در سیستم به جای سه نام فایل، با یک نام فایل احتمالی نوشته شده و قابلیت دانلود و اجرای DLL به نام Pony به عنوان یک ماژول فراهم شده است.

این بدافزار به صورت یک سند ورد آلوده و عمدتا با استفاده از پیوست کردن این فایل به پیام‌های پست الکترونیکی منتشر می‌شود. شواهد و بررسی‌ها نشان می‌دهد که بدافزار هنکیتور نسخه‌های متفاوتی دارد که هر یک تفاوت کمی با دیگری دارد اما روال کلی کار آن‌ها مشابه یکدیگر است. این بدافزار دانلودر، از طریق ضمیمه‌های فایل مخرب انتشار می‌یابد و بدافزارهای ویژه سرقت داده‌ها (مانند Pony و Vawtrak) را منتشر می‌کند.

[farnaz]

ممنون جالب بود