بد افزار Hancitor

اختصاصی ایران هشدار - برخی از هکرها و خرابکاران اینترنتی از حمله های چند گانه برای هک کردن کاربران استفاده می کنند تا مطمئن شوند این کار با موفقیت انجام شده است. افرادی که از بد افزار Hancitor( که به نام chanitor نیز شناخته می شود) استفاده می کنند، از روش های استثنایی استفاده می کنند و از سه راه همزمان برای ارسال بد افزار به قربانیان خود برای سرقت داده های آنها، استفاده می کنند. این سه روش شامل سوء استفاده API و روش Powershell است.

بد افزار مخرب که برای حمله hancitor استفاده شده، به عنوان یک ضمیمه ایمیل اسپم به افراد ارسال می شود. به محض اینکه برنامه اجرایی این بد افزار دانلود و اجرا شد، یک محموله مداخله کننده که در ادامه یک pony DLL و VAWTRAK قابل اجرا را دانلود می کند و آن را پخش می کند که عملیات سرقت داده را انجام می دهد و به یک command وصل می شود و C2 سرور را کنترل می کند و تروجان ها، بات نت ها و انواع مختلف بد افزار را دانلود و نصب می کند.

تعدادی ایمیل فیشینگ مشاهده شده است که به صورت ارسال یک فاکتور یا صورت حساب، همانطور که در شکل مشاهده می کنید، به قربانی ارسال می شود. فایل ضمیمه در این ایمیل ها، یک سند مسلح از نرم افزار آفیس است که حامل یک ماکروی مخرب است که به محض فعالسازی، منجر به دانلود Hancitor می شود.

پس از بازکردن ضمیمه، یک مکانیزم اغوا کننده انجام می شود تا قربانی را فریب دهد تا ماکروی مخرب را فعال کند و همانطور که در شکل زیر می بینید، مهاجمان از سه روش زیر برای فریب استفاده می کنند.
 

این دانلودر ها سه قابلیت دارند:فایل اجرایی را دانلود می گنند وآن را اجرایی می نمایند سپس یک DLL را دانلود و آن را اجرا می کنند و در نهایت خود را حذف می کنند. این بد افزار در سال 2016 شناسایی شده و عمدتا برای سرقت اطلاعات مهم از جمله رمز های عبور ذخیره شده در مرورگرها، طراحی شده است.
مشاهده می کنید که تنها با بازکردن یک ضمیمه ایمیل نا شناس، چه اتفاقاتی ممکن است رخ دهد که منجر به افشای رمز های عبور سیستم شما که در میان آن، رمزهای عبور حساب های بانکی شما نیز وجود دارد، می شود.