آنتی ویروس به سادگی نمی تواند این بدافزار را متوقف کند – آن را به عنوان یک فایل CV Microsoft Word ظاهر می کند
این بدافزار پنهان شده به عنوان فایل CV مایکروسافت ورد می تواند بیش از 50 نرم افزار آنتی ویروس را دور بزند!
آنتی ویروس ها قرار است راهی مطمئن برای محافظت از دستگاه شما در برابر تهدید بدافزارها و هکرهایی باشند که همیشه راه های جدیدی برای ربودن آن ارائه می دهند! اما اگر بگوییم بدافزاری وجود دارد که حتی قویترین نرمافزار آنتیویروس نیز قادر به شناسایی آن نیست، چه؟ این ترسناک است! یک گزارش اخیر توسط تیمی از محققان نشان داد که چنین بدافزاری در واقع وجود دارد و می تواند از بیش از 50 نرم افزار آنتی ویروس برتر پنهان شود.
این بدافزار توانایی بالایی در تخریب سیستم شما دارد، توسط محققان بخش امنیت سایبری 42 کشف شد. واحد 42 یک تیم اطلاعاتی تهدید در شبکه های پالو آلتو است. گزارش TechRadar نشان می دهد که اولین بار در ماه مه مشاهده شد. به گفته این وب سایت، BRC4 “یک مرکز فرماندهی و کنترل شبیه سازی تیم قرمز و حریف سفارشی است.” تیم BRC4 پیشنهاد میکند که از محصولات ضد ویروس محبوب با مهندسی معکوس استفاده کرده است تا اطمینان حاصل شود که ابزارهایش میتوانند از هر گونه تشخیص توسط نرمافزار ضد ویروس جلوگیری کنند.
محققان پیشنهاد میکنند که احتمالاً بازیگران دولتی پشت این کمپین بدافزار هستند. این به دلیل طراحی آن و سرعت انتشار بدافزار به سیستم قربانی است.
چگونه این بدافزار خطرناک پخش می شود؟
این بدافزار escape-master، تحت نظارت واحد 42، زندگی خود را به عنوان یک فایل رزومه (CV) به نام روشن بندرا آغاز می کند. اما آن فایل رزومه، بدافزار را حمل می کند تا آن را به سیستم قربانی احتمالی تحویل دهد. خلاصه حتی به عنوان یک فایل ISO، که یک فرمت فایل تصویری دیسک است، در دسترس است. هنگامی که کاربر روی آن کلیک می کند، یک پنجره مدیریت فایل با یک گزینه واحد به نام “Roshan-Bandara_CV_Dialog” نمایش داده می شود.
به طور معمول، فایل شبیه هر فایل مایکروسافت ورد دیگری است، اما هنگامی که کاربر روی فایل کلیک می کند، به صورت CMD.EXE باز می شود و OneDrive Updater را راه اندازی می کند. و اینگونه است که این بدافزار از تمامی سرویس های آنتی ویروس طفره می رود و BRC4 را در سیستم نصب می کند.
دقیقاً چه کسی پشت این کمپین بدافزار است، هنوز مشخص نیست، اما محققان گمان میکنند که این گروه APT29 مستقر در روسیه باشد که در گذشته نیز از فایلهای ISO به عنوان سلاح استفاده میکرد.