هکرها می‌توانند بدافزارها را حتی در فایل گزارش رویداد ویندوز مخفی کنند!

گزارش رویداد ویندوز در تشخیص مشکلات امنیتی رایانه‌ های شخصی به کاربران کمک می‌کند؛ بااین‌حال، محققان کسپرسکی با هکری مواجه شده‌اند که از گزارش رویداد علیه هدف خود استفاده کرده است.

به‌گزارش Techspot، هفته‌ی گذشته کسپرسکی تجزیه‌ و تحلیل مفصلی از حمله‌ی پیچیده‌ای منتشر کرد که پاییز گذشته آغاز شد. این روش شامل ترکیبی از تکنیک‌ها و نرم‌افزارهای مختلف بود؛ اما محققان امنیتی این شرکت استفاده از گزارش رویدادهای ویندوز را به‌عنوان چیزی کاملاً جدید برجسته کردند.

در مرحله‌ای از کمپین هک، شخص مهاجم کد پوسته را در گزارش رویدادهای ویندوز هدف وارد کرد. این روش ذخیره‌‌‌ی بدافزار کاملاً مخفیانه است؛ زیرا هیچ فایلی برای شناسایی آنتی‌ویروس باقی نمی‌گذارد.

همچنین، این کمپین شامل مجموعه‌ی بزرگی از نرم‌افزار های تجاری و خانگی بود. این مورد شامل ربودن فایل DLL، یک تروجان، پوشش‌ های ضد تشخیص، تقلید دامنه‌ی وب و… بود. مهاجم در این روش حتی برخی از نرم‌افزار های سفارشی خود را شخصا امضا کرد تا قانونی‌تر به‌نظر برسد.

مقیاس و منحصر‌به‌فرد بودن حمله نشان می‌دهد برای سیستم هدف خاصی طراحی شده است. اولین مرحله شامل مهندسی اجتماعی بود که در آن، مهاجم قربانی را متقاعد کرد که فایلی rar را از وب‌سایت اشتراک‌گذاری فایل قانونی File.io دانلود و اجرا کند.

کسپرسکی نتوانست این حمله را به هیچ مظنون شناخته‌‌شده‌ای ارتباط دهد یا هدف نهایی آن را تعیین کند. بااین‌حال، محققان به BleepingComputer اعلام کردند حملات مشابه معمولاً با هدف گرفتن داده‌های ارزشمند قربانی انجام می‌شوند.

منبع: وب سایت زومیت