کشف بدافزار ویندوزی جدیدی که فعالیت سایر بدافزارها را مخفی می کند

نوع جدید بدافزار ویندوز که SystemBC نام دارد و روی کامپیوترهای آلوده شده یک نوع پروکسی نصب می‌کند، قادر است ترافیک فعالیت سایر بدافزارها را پوشانده و برای آن‌ها امکان اجرای مخفیانه روی سیستم‌ها را فراهم کند.

مشکل اصلی اینجاست که SystemBC تنها نیست و حضور این بدافزار در یک سیستم به معنای حضور یک تهدید دوم هم هست. محققان Proofpoint که اخیرا این بدافزار را مورد بررسی قرار داده‌اند می‌گویند که توسعه دهندگان SystemBC برای جلب توجه سایر توسعه دهندگان بدافزار آن را در فروم‌های زیر زمینی تبلیغ می‌کنند.

در واقع این بدافزار یک پروکسی پر تقاضا است که سایر توسعه دهندگان بدافزار می‌توانند از آن به عنوان بستری برای هدف قرار دادن کامپیوتر کاربران استفاده کنند. نقش اصلی SystemBC این است که یک پروکسی سرور SOCKS5 ایجاد می‌کند و سایر ابزارهای مخرب می‌توانند از طریق آن تونلی برای دور زدن دیوار آتش سیستم قربانی، دور زدن فیلترهای محتوای اینترنت و یا اتصال به سرورهای فرمان و کنترل سیستم قربانی بدون آشکار شدن آدرس IP استفاده کنند.

محققان می‌گویند که آگهی تبلیغاتی ناشناسی در یک فروم هک پیدا کرده‌اند که به نظر متعلق به این بدافزار ویندوز باشد. این آگهی مربوط به چند ماه قبل و زمانی می‌شود که این بدافزار هنوز در فضای اینترنت مشاهده نشده بود.

بدافزار ویندوز

این آگهی شامل عکس‌هایی از بک‌اند SystemBC می‌شد که توسعه دهندگان آن می‌توانستند از این طریق تعداد نصب‌های فعال را لیست کرده و بدافزار را روی کامپیوتر کاربران به روزرسانی کنند.

در حالی که این بدافزار برای اولین بار در کمپین‌های مجزا مشاهده شده بود، محققان می‌گویند که طی دو ماه اخیر آن را در کیت‌های اکسپلویت مثل RIG یا Fallout ردگیری کرده‌اند. کیت‌های اکسپلویت سیستم‌های بر پایه وبی هستند که از رخنه‌های امنیتی مرورگرها استفاده کرده و روی کامپیوتر کاربران بدافزار نصب می‌کنند.

این کیت‌ها همچنین می‌توانند کاربران را وارد صفحات وبی کنند که حاوی لینک اپ‌ها و برنامه‌های مخرب هستند تا کاربران به این طریق آن‌ها را شخصا روی سیستمشان نصب کنند. از آنجایی که این ابزار روی ترافیک شبکه سایر بدافزارها سرپوش می‌گذارد احتمالا استفاده از آن روز به روز بیشتر شود.

به هر حال اگر روی سیستمتان متوجه یک فایل SystemBC شدید، باید بدانید که یک نوع دیگر از بدافزار هم در سیستم شما وجود دارد و پاک کردن SystemBC به تنهایی نمی‌تواند مشکلتان را حل کند.

لینک منبع اصلی