سناریوی سرقت دادهها
بدافزار هنکیتور که به صورت یک سند ورد آلوده و عمدتا با استفاده از پیوست کردن این فایل به پیامهای پست الکترونیکی منتشر میشود، نسخههای متفاوتی دارد که از طریق ضمیمههای فایل مخرب انتشار مییابد و بدافزارهای ویژه سرقت دادهها را منتشر میکند.
بدافزار هنکیتور (Hancitor) با دیگر نامهای Chanitor یا TorDal یک بدافزار از نوع دانلودر است که تقریبا از سال 2014 پدیدار شده است. دانلودرها پس از استقرار در سیستم قربانی، با سرورهای C2 خود تماس برقرار کرده و تروجانها، باتها و دیگر انواع بدافزار را دانلود و نصب میکنند.
همانطور که در گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) آمده است، در ماه می، محققان Proofpoint اعلام کردند که ظهور مجدد هنیکتور را مشاهده کردند.
این دانلودر خاص سه قابلیت اساسی دارد: دانلود فایل exe از یک url و اجرای آن، دانلود یک DLL از یک url و اجرای آن بدون نوشتن آن روی دیسک و در عوض نوشتن آن مستقیما برروی فضای حافظه دانلودر، حذف خود دانلودر.
هر یک از این دستورات ممکن است پس ارسال یک درخواست به سرور C2 از طرف دانلودر، دریافت شوند. این درخواست شامل اطلاعات شناسایی منحصربهفرد قربانی است و مهاجم را قادر میکند تا به سادگی قربانیان را کنترل کند.
سناریوی آلودگی
دانلودر هنکیتور تا زمان فعالیت کمپین اصلی در ژوئن 2112، تقریباً فعالیتی نداشته اما طی هفتههای اخیر، در زمان انجام تحقیقات افزایش چشمگیری در ارسال خانواده بدافزار هنکیتور مشاهده شده است.
در عین حال، گزارشهایی از دیگر شرکتها و محققان امنیتی مبنی بر فعالیت مشابه دریافت شده است. این بدافزار دانلودر، از طریق ضمیمههای فایل مخرب انتشار مییابد و بدافزارهای ویژه سرقت دادهها (مانند Pony و Vawtrak) را منتشر میکند.
البته به گفته محققان، شیوه تحویل دادههای واقعی (Payload) بدافزار هنکیتور با نسخههای قبلی آن متفاوت است.
جالبترین تکنیک مربوط به توانایی بدافزار هنکیتور برای پنهان کردن فرمانهای مخرب PowerShell است. به گفته محققان، زمانی که کاربر ماکروها را فعال کند، درواقع راهی برای ایجاد فرمان PowerShell باز خواهد کرد.
این بدافزار قطعات کد را برای سرهمبندی و تولید فرمان ترکیب میکند. بنا بر ادعای این محققان هکرها از اندازه فونت بسیار کوچک «1» برای پنهان کردن متن PowerShell استفاده میکنند که تشخیص آن را بسیار دشوار میکند.
تشابهات بدافزار هنکیتور با دیگر بدافزارها
در ماه می، اندکی پس از اینکه هنکیتور برای اولین مرتبه بروز شد، Ruckguv در حال دانلود Vawtrak مشاهده شد. آخرین مرتبهای که این دانلودر مشاهده شد، در دسامبر 2111 بود که بار مفید Crytowall را بارگذاری میکرد.
از آخرین مرتبهای که دانلودر در دادههای ProofPoint مشاهده شده، Ruckguv نیز تغییرات اساسی کرده و بهروز شده است. تغییرات قابل توجه و خصوصیات جدید بدافزار عبارتند از اینکه بار مفید دانلودشده در سیستم به جای سه نام فایل، با یک نام فایل احتمالی نوشته شده و قابلیت دانلود و اجرای DLL به نام Pony به عنوان یک ماژول فراهم شده است.
این بدافزار به صورت یک سند ورد آلوده و عمدتا با استفاده از پیوست کردن این فایل به پیامهای پست الکترونیکی منتشر میشود. شواهد و بررسیها نشان میدهد که بدافزار هنکیتور نسخههای متفاوتی دارد که هر یک تفاوت کمی با دیگری دارد اما روال کلی کار آنها مشابه یکدیگر است. این بدافزار دانلودر، از طریق ضمیمههای فایل مخرب انتشار مییابد و بدافزارهای ویژه سرقت دادهها (مانند Pony و Vawtrak) را منتشر میکند.