گزارش رویداد ویندوز در تشخیص مشکلات امنیتی رایانه های شخصی به کاربران کمک میکند؛ بااینحال، محققان کسپرسکی با هکری مواجه شدهاند که از گزارش رویداد علیه هدف خود استفاده کرده است.
بهگزارش Techspot، هفتهی گذشته کسپرسکی تجزیه و تحلیل مفصلی از حملهی پیچیدهای منتشر کرد که پاییز گذشته آغاز شد. این روش شامل ترکیبی از تکنیکها و نرمافزارهای مختلف بود؛ اما محققان امنیتی این شرکت استفاده از گزارش رویدادهای ویندوز را بهعنوان چیزی کاملاً جدید برجسته کردند.
در مرحلهای از کمپین هک، شخص مهاجم کد پوسته را در گزارش رویدادهای ویندوز هدف وارد کرد. این روش ذخیرهی بدافزار کاملاً مخفیانه است؛ زیرا هیچ فایلی برای شناسایی آنتیویروس باقی نمیگذارد.
همچنین، این کمپین شامل مجموعهی بزرگی از نرمافزار های تجاری و خانگی بود. این مورد شامل ربودن فایل DLL، یک تروجان، پوشش های ضد تشخیص، تقلید دامنهی وب و… بود. مهاجم در این روش حتی برخی از نرمافزار های سفارشی خود را شخصا امضا کرد تا قانونیتر بهنظر برسد.
مقیاس و منحصربهفرد بودن حمله نشان میدهد برای سیستم هدف خاصی طراحی شده است. اولین مرحله شامل مهندسی اجتماعی بود که در آن، مهاجم قربانی را متقاعد کرد که فایلی rar را از وبسایت اشتراکگذاری فایل قانونی File.io دانلود و اجرا کند.
کسپرسکی نتوانست این حمله را به هیچ مظنون شناختهشدهای ارتباط دهد یا هدف نهایی آن را تعیین کند. بااینحال، محققان به BleepingComputer اعلام کردند حملات مشابه معمولاً با هدف گرفتن دادههای ارزشمند قربانی انجام میشوند.
منبع: وب سایت زومیت