کارشناسان هشدار داده اند که یک نوع بدافزار جدید که از درایوهای USB بهره برداری می کند، به سرعت در حال گسترش در سراسر جهان است.
شرکت امنیت سایبری Check Point گزارشی منتشر کرد که نشان میدهد چگونه یک گروه تحت حمایت دولت چین به نام Camaro Dragon (همچنین با نامهای Mustang Panda و LuminousMoth شناخته میشود) در حال انتشار بدافزار در مقیاس گسترده از طریق درایورهای USB آلوده است.
WispRider نام نوع اصلی مورد استفاده است که چندین بار تکرار شده است. از لانچر HopperTrick برای انتشار از طریق USB استفاده می کند و همچنین دارای ویژگی دور زدن SmadAV، یک راه حل آنتی ویروس محبوب در جنوب شرقی آسیا است.
برای مطالعه (Microsoft Defender حالت عملکرد جدید دارد) اینجا کلیک کنید.
بدافزار WispRider در USB
این منطقه جایی است که بدافزار شروع به کار کرد. اما سپس از طریق درایوهای USB به سایر مناطق جهان منتشر شد. در اوایل سال 2023، تیم واکنش به رویداد Check Point (CPIRT) متوجه شد که بدافزار به یک موسسه مراقبتهای بهداشتی اروپایی رسیده است.
WispRider همچنین با استفاده از اجزای نرم افزار امنیتی مانند G-DATA Total Security و قطعات متعلق به Electronic Arts و Riot Games، دو غول دنیای بازی، قادر به بارگذاری جانبی DLL است. Check Point به شرکت های فوق اطلاع داد که مهاجمان از نرم افزار مربوطه آنها استفاده کرده اند. چک پوینت میگوید:
شیوع و ماهیت حملاتی که با استفاده از بدافزارهای یواسبی خود منتشر میشوند، نیاز به محافظت در برابر آنها را نشان میدهد. حتی برای سازمانهایی که ممکن است هدف مستقیم چنین کمپینهایی نباشند.
عفونت های بدافزار USB
این سازمان ادعا می کند که عفونت های بدافزار USB را در کشورهای دیگر در سراسر جهان از جمله میانمار، کره جنوبی، بریتانیا، هند و روسیه پیدا کرده است.
Check Point همچنین اشاره میکند که WispRider با ابزارهای دیگری که اخیراً توسط Camaro Dragon استفاده میشود، مانند یک درب پشتی به نام TinyNote و یک سیستمافزار روتر به نام HorseShell همسو میشود. چک پوینت ادعا می کند: همه آنها زیرساخت ها و اهداف عملیاتی مشترک دارند.
از زمانی که این پرونده در بیمارستان اروپایی مشاهده شد، بدافزار ارتقا یافته است. اکنون ساختار یکپارچهتری دارد که به موجب آن، آلودهکننده USB، ماژول Evasion و درب پشتی در یک محموله ترکیب میشوند. برخلاف مجموعهای جداگانه از فایلهای اجرایی قانونی و DLLهای بارگذاریشده جانبی.
کدگذاری اجزای بدافزار نیز اصلاح شده است. به طوری که نسخههای جدیدتر همه اجزا در حال حاضر به زبان C++ نوشته شدهاند. در حالی که راهانداز USB در دلفی نوشته شده است.