وقتی حتی عکس لوگوی ویندوز نیز از بدافزار در امان نیست!

به نظر می‌رسد که حتی لوگوی نمادین ویندوز نیز دیگر از بدافزار در امان نیست، زیرا برخی از مجرمان سایبری موفق شدند کدهای مخربی را با موفقیت در داخل آن پنهان کنند.

کارشناسان امنیت سایبری در Symantec ادعا می‌کنند که یکی از کمپین‌های نهان‌نگاری که با استفاده از فرآیند پنهان کردن کدهای مخرب در تصاویر به ظاهر بی‌ضرر، کار خود را جلو می‌برند، شناسایی شده‌اند.

این روش معمولاً برای جلوگیری از شناسایی توسط برنامه‌های آنتی ویروس انجام می‌شود، زیرا چنین برنامه‌هایی به ندرت تصاویر را مخرب تشخیص می‌دهند.

در این مورد خاص، گروهی که در حملات پنهان‌نگاری شرکت کرده است، Witchetty نامیده می‌شود، این گروه یک عامل تهدید شناخته شده که گفته می‌شود به شدت به دولت چین و گروه مورد حمایت آن‌ها یعنی Cicada مرتبط است و همچنین بخشی از سازمان TA410 محسوب می‌شود همچنین در گذشته تامین‌کنندگان انرژی ایالات متحده را هدف قرار داده است. این گروه آخرین کارزار خود را در فوریه ۲۰۲۲ آغاز کرد و حداقل دو دولت در خاورمیانه را هدف قرار داد.

علاوه بر این، حمله به یک بورس اوراق بهادار در آفریقا توسط این گروه همچنان در جریان است. ویچتی از حملات پنهان‌نگاری برای مخفی کردن یک درپشتی (Back Door) رمزگذاری شده با XOR استفاده کرد که در یک سرویس ابری میزبانی شده بود و شانس تشخیص آن را به حداقل رساند.

کارشناسان Symantec گفتند: مختار کردن محموله کد به این شکل به مهاجمان این امکان را داد که آن را در یک سرویس رایگان و قابل اعتماد میزبانی کنند.

درب پشتی رمزگذاری شده با XOR به عوامل تهدید اجازه می‌دهد تا چندین کار از جمله دستکاری فایل‌ها و پوشه‌ها، اجرا و خاتمه فرآیندها، بهینه سازی رجیستری ویندوز، دانلود بدافزار اضافی و سرقت اسناد را انجام دهند.

آخرین باری که درباره Cicada شنیدیم در آوریل ۲۰۲۲ بود، زمانی که محققان گزارش دادند که این گروه از پخش کننده رسانه محبوب VLC برای توزیع بدافزار و جاسوسی از سازمان‌های دولتی و سازمان‌های مجاور واقع در ایالات متحده، کانادا، هنگ کنگ، ترکیه، اسرائیل، هند سوء استفاده کرده است.