استفاده هکرها از AnyDesk در حالت ایمن ویندوز برای راه اندازی حملات!

۰۳ بهمن ۱۴۰۰ | ۱۲:۲۹ کد : ۲۳۴۹۲ اخبار
تعداد بازدید:۶۰۲
تهیه کننده خبر: ناصر رضایی
Sophos که یک رهبر جهانی در امنیت سایبری است، باج افزار جدیدی به نام AvosLocker را کشف کرده است. در این حمله، هکرها از Windows Safe Mode و ابزار مدیریت از راه دور AnyDesk استفاده می کنند.
استفاده هکرها از AnyDesk در حالت ایمن ویندوز برای راه اندازی حملات!

حالت ایمن ویندوز(Safe Mode) یک روش بسیار رایج برای کار با رایانه بدون استفاده از رمز عبور می‌باشد. در حالت ایمن ویندوز، ما نمی توانیم به همه چیز دسترسی داشته باشیم، اما هکرها متوجه شدند که می توانند به AnyDesk دسترسی داشته باشند. با AnyDesk، هکرها می‌توانند به طور مداوم از راه دور به رایانه ها دسترسی پیدا کنند.
Sophos فاش کرد که مهاجمان AvosLocker برنامه AnyDesk را نصب و در حالت Safe Mode کار می‌کند. آنها سرویس‌های امنیتی را که در حالت ایمن اجرا می‌شوند را غیرفعال کرده‌اند و سپس باج افزار را در حالت ایمن اجرا می کنند. باج افزار AvosLocker در حالت ایمن راه اندازی مجدد می شود تا ابزارهای امنیتی را دور بزند.  
پیتر مکنزی، مدیر واکنش به حوادث سوفوس در بیانیه‌ای گفت: Sophos متوجه شد که مهاجمان AvosLocker  برنامه AnyDesk را نصب کرده‌اند، بنابراین در حالت Safe Mode کار می‌کند و سعی کرد ابزارهای امنیتی را که در حالت Safe Mode اجرا می‌شوند را غیرفعال کند و سپس باج‌افزار را در حالت Safe Mode اجرا کند و سناریویی را ایجاد کند که در آن مهاجمان کنترل کامل از راه دور بر روی هر دستگاهی که با AnyDesk راه‌اندازی کرده‌اند را به دست بگیرند.
AvosLocker اولین بار در ژوئن 2021 مشاهده شد، این یک باج افزار جدید است. تیم Sophos Rapid Response حملات AvosLocker را در آمریکا، خاورمیانه و مناطق آسیا و اقیانوسیه مشاهده کرده است که سیستم‌های ویندوز و لینوکس را هدف قرار داده است.
محققان در بررسی باج‌افزار دریافتند که مهاجمان از PDQ Deploy بر روی ماشین‌های هدفمند برای اجرا و اجرای اسکریپت دسته‌ای به نام‌های "love.bat‏"، "update.bat" یا "lock.bat" استفاده می‌کنند. این اسکریپت مجموعه ای از دستورات متوالی را ارائه می دهد که ماشین ها را آماده می کند تا باج افزار را آزاد کرده و در حالت ایمن راه اندازی مجدد کنند.
پیتر مکنزی گفت: "تکنیک های مورد استفاده AvosLocker ساده اما بسیار هوشمندانه هستند. آنها اطمینان می‌دهند که باج‌افزار بهترین شانس را برای اجرا در حالت ایمن دارد و به مهاجمان اجازه می‌دهد تا دسترسی از راه دور به ماشین‌ها را در طول حمله حفظ کنند.» اجرای دستورات حدود پنج ثانیه طول می کشد و سرویس های به روز رسانی ویندوز و Windows Defender را غیرفعال می کند. سپس دیگر نرم افزارهای امنیتی که در حالت Safe Mode اجرا می شوند را غیرفعال می کند.
منبع: cyberpolice.ir
 

ناصر رضایی

تهیه کننده خبر

کلیدواژه‌ها: باج افزار windows safe mode anydesk


نظر شما :