إمتثلت هذه الحمولات النافعة لـ AutoIT ، وهى لغة نصية تهدف إلى أتمتة المهام الأساسية في Windows GUI ، والتي يسيء استخدامها مجرمو الإنترنت لتعتيم ثنائي البرمجيات الخبيثة للتهرب من الاكتشاف.
تستخدم تقنية التشويش التلقائي AutoIT (التشويش التلقائى) في تجاوز مرشحات البريد العشوائي وطريقة سهلة لتركيب ملفات ISO الضارة فى إصدار windows الأخير.
اكتشف Trend Micro هذه البرامج الضارة مثل تجسس طروادة Negasteal أو Agent Tesla ( TrojanSpy.Win32.NEGASTEAL.DOCGC ) ، وطرق طروادة الوصول عن بعد (RAT) Ave Maria أو Warzone ( TrojanSpy.Win32.AVEMARIA.T ).
يعتقد الباحثون أن الجهات الفاعلة التي تهدد تقديم هذه الحملة الضارة عبر عنوان بريد الويب للخطر.
عملية العدوى
يتم استخدام رسائل Malspam الإلكترونية بشكل متكرر لتقديم برامج ضارة مبهمة وبريد إلكتروني تم طرحه كمستشار شحنة ووثيقة مالية مع ملف .RAR مرفق.
بمجرد أن يقوم الضحايا بتنزيل المرفق واستخراج الملف ، فإنه يسقط سلالات البرامج الضارة المشوهة تلقائيًا من Negasteal و Ave Maria.
وفقا لأبحاث تريند مايكرو ، فإن تقنية التشويش الآلي AutoIT تحتوي على طبقتين: ثنائيات البرامج الضارة الفعلية محشورة في البرامج النصية AutoIT (.au3) ، وبعد ذلك يتم تجميع النصوص في ملف قابل للتنفيذ باستخدام برنامج التحويل البرمجى AutoIT مثل Aut2Exe.
يمكن استخدام هذا النوع من تقنية التشويش المتعمقة لتجاوز حل نقطة النهاية بسهولة المزود بالكشف القائم على السلوك باستخدام التعلم الآلي دون أي حل أمني.
لاحظ الباحثون أيضًا أن متغير Ave Maria RAT قد أتاح مع المزيد من الوظائف لأداء تجاوز UAC ومعالجة الرموز المميزة لرفع امتيازاتها.
نتيجة لنجاح الإصابة ، تقوم متغيرات Negasteal / Agent Tesla بتسجيل ومراقبة ضربات المفاتيح وكاميرا الويب والتقاط الشاشة ، بالإضافة الى جمع المعلومات المحفوظة على الحافظة.
كما يسـرق اسم المستخدم وكلمات المرور من بروتوكولات مختلفة مثل HTTP و IMAP و POP3 و SMTP و Windows بما في ذلك تطبيقات Microsoft Outlook و Windows Messaging و Internet Explorer و Google Chrome و Foxmail و Thunderbird و Firefox.
يمكن لـ Ave Maria أيضًا تعديل وإسقاط وإنشاء ملفات عشوائية في نظام معرض للخطر ، بالإضافة إلى تعداد العمليات والملفات والدلائل ومحركات الأقـراص. وقال تريند مايكرو إنه قادر أيضًا على إنهاء العمليات الجارية وحذف الملفات وإلغاء التثبيت نفسه.
مؤشرات الحلول الوسطية (IoCs)
SHA-256 هاش
Bc077b31c61d61d5d077b68b7f0b110efe85d138224f6e0c21145534ec2bab670bcb1b690c08a26d |