به گزارش آی تابناک : شرکت امنیتی Fortinet هشداری منتشر کردهاست که به باجافزار Sage که در اوایل سال جاری ظاهر شد، قابلیتهای جدیدی اضافه شدهاست که منجر شده فرار از تجزیهوتحلیل و افزایش امتیازات در این باجافزار فعال شود.
این بدافزار در اوایل سال ۲۰۱۷ میلادی بسیار فعال بود، اما در ۶ ماه گذشته، فعالیت قابل توجهی نداشتهاست. با این حال، محققان امنیتی Fortinet هشدار میدهند که در ماه مارس امسال نمونههای مشابهی با یک Sage یافتشده که قابلیتهای افزایش امتیازات و فرار از تجزیهوتحلیل را دارا بودهاست.
با توزیع شدن از طریق ایمیلهای حاوی هرزنامه و با پیوستهای مخرب جاوا اسکریپت، Sage نیز متوجهشد که زیرساختهای توزیع مشابهی را با باجافزار Locky به اشتراک گذاشتهاست. همچنین مشاهدهشد که این بدافزار از طریق پروندههای اسناد با ماکروهای مخرب توزیع شدهاست. این بدافزار وسیلههای نفوذ دامنههای .info و .top را برای تحویل بدافزار بهکار میگیرد.
این بدافزار از الگوریتم رمزنگاری ChaCha۲۰ برای رمزنگاری پروندههای قربانی و افزودن پسوند .sage به آنها استفاده میکند. باجافزار Sage از آلودهکردن رایانههایی که دارای صفحه کلید بلاروس، قزاق، ازبک، روسی، اوکراین، ساخا و لتونی هستند، اجتناب میکند.
با نگاهی به کد Sage متوجه میشویم که اکثر رشتهها در تلاش برای پنهان کردن رفتار مخرب، رمزنگاری شدهاند. Fortinet کشف کردهاست که نویسندگان از الگوریتم رمزنگاری ChaCha۲۰ برای رمزنگاری استفاده کردهاند و هر رشته رمزنگاریشده، کلید رمزگشایی هاردکد خود را دارد.
علاوهبر این، درصورتیکه این بدافزار برای تجزیهوتحلیل بر روی یک سندباکس یا دستگاه مجازی بارگیری شود، انواع روشهای تحلیل را برای کشف این موضوع به کار میگیرد.
این تهدید تمام فرایندهای فعال بر روی دستگاه را شمارش میکند و برای هرکدام از آنها یک عبارت درهمسازی محاسبه میکند سپس درهمسازیها را در برابر یک فهرست هاردکدشده از فرایندهای فهرست سیاه بررسی میکند. همچنین در صورتیکه شامل رشتههایی مانند sample، malw، sampel، virus، {sample’s MD۵} و {samples’s SHA۱} باشد، تمام مسیرهایی را که بدافزار اجرا شده و به پایان میرسد نیز بررسی میکند.
نوع جدید باجافزار Sage برای تعیین کردن، نامهای رایانه و کاربر را نیز در صورتیکه آنها را با فهرست نامهای مورد استفاده در محیط سندباکس مطابقت دهد، بررسی میکند. همچنین از دستورالعمل CPUID x86 برای دریافت اطلاعات پردازنده و مقایسه آن فهرستی از شناسههای CPU فهرست سیاه، استفاده میکند.
علاوهبر اینها، این باجافزار بررسی میکند که آیا یک ضدبدافزار بر روی رایانه اجرا میشود (با بررسی فرایندهایی که تحت مدیریت Service Control Manager اجرا میشوند) و آن را در برابر مجموعهای از آدرسهای MAC لیست سیاه بررسی میکند.
همچنین مشخص شد که باجافزار Sage میتواند با بهرهبرداری از یک آسیبپذیری وصلهشده هسته ویندوز با شناسه (CVE-۲۰۱۵-۰۰۵۷) و یا با بهرهبرداری از eventvwr.exe و به سرقت بردن رجیستری برای دور زدن کنترل حساب کاربر (UAC)، امتیاز خود را افزایش دهد.
یادداشت باج به ۶ زبان دیگر ترجمه شدهاست که نشان میدهد نویسنده ممکن است در آینده، کشورهای بیشتری را هدف قرار دهد. قربانیان برای دسترسی به یک وبسایت onion با استفاده از مرورگر تور هدایت شده و برای خرید «نرمافزار رمزگشای SAGE» باج به مبلغ دوهزار دلار را پرداخت میکنند.
گفتنی است زبانهایی که درحالحاضر این باجافزار از آنها پشتیبانی میکند شامل زبانهای انگلیسی، ایتالیایی، آلمانی، فرانسه، اسپانیایی، پرتغالی، هلندی، چینی، کرهای، عربی و فارسی است.
منبع : افتانا