کمپین اسپم توزیع XTRAT و DUNIHI

خلاصه: محققان بدافزار در ترندمیکرو یک کمپین اسپم را کشف کرده‌اند که Awind RAT در کنار درب‌پشتی XTRAT و بدافزار Loki که داده‌ها را می‌دزدد، را توزیع می‌کند. کارشناسان از 1 ژانویه تا 17 آوریل 5535 آلودگی با Adwind را شناسایی کرده‌اند.

محققان بدافزار در ترندمیکرو یک کمپین اسپم را کشف کرده‌اند که Awind RAT در کنار درب‌پشتی XTRAT و بدافزار Loki که داده‌ها را می‌دزدد، را توزیع می‌کند. در یک کمپین اسپم Adwind RAT جداگانه، محققان استفاده از یک VBScript با درب‌پشتی‌ای به‌نام DUNIHI را مشاهده کرده‌اند. هر دو این کمپین‌ها از سرور DNS پویای رایگان hopto[.]org استفاده می‌کنند.

کارشناسان از 1 ژانویه تا 17 آوریل 5535 آلودگی با Adwind را شناسایی کرده‌اند، بیشتر این حوادث در ایالات متحده آمریکا، ژاپن، استرالیا، ایتالیا، تایوان، آلمان و کالیفرنیا اتفاق افتاده‌اند.

مجرمانی که پشن حوادث مربوط به Adwind و Loki قرار داند از اسناد RTF که آسیب‌پذیری CVE-2017-1182 را راه‌اندازی می‌کنند، برای توزیع Adwind، XTRAT و Loki استفاده می‌کنند.

Adwind یک درب‌پشتی جاوای چندسکویی است که به‌صورت گسترده از 2013 مشاهده شده است. XTRAT نیز قابلیت‌هایی مشابه با Adwind را به اشتراک می‌گذارد، این بدافزار ویژگی‌هایی مانند کنترل دوربین و میکروفون را نیز پیاده‌سازی می‌کند.

Loki در اکوسیستم جرایم سایبری به‌عنوان یک سارق پسورد شناخته شده است.

محققان Adwind را همراه با درب‌پشتی DUNIHI مشاهده کرده‌اند، DUNIHI به pm2bitcoin[.]com:62103 متصل می‌شود.

متخصصان یک روش چندلایه‌ای برای امنیت را پیشنهاد کرده‌اند که با تهدیدات چندسکویی مانند Adwind مقابله می‌کند.