بهار فناوری
هشدار مایکروسافت درباره «Gigawiper»؛ بدافزاری که هارد را پاک می‌کند و کنترل سیستم قربانی را به دست می‌گیرد

تیم تهدیدات مایکروسافت (Microsoft Threat Intelligence) از کشف یک بدافزار پیشرفته و چندکاره به نام «گیگاوایپر» (GigaWiper) خبر داد که علاوه بر قابلیت پاک‌سازی کامل اطلاعات هارددیسک، امکان جاسوسی گسترده و حتی پخش مستقیم صفحه نمایش سیستم قربانی را نیز فراهم می‌کند.

بر اساس اطلاعات منتشر شده در وبلاگ امنیتی مایکروسافت، گیگاوایپر در واقع یک درِ پشتی است که با ترکیب چند خانواده بدافزاری شناخته‌شده ساخته شده و به همین دلیل طیف گسترده‌ای از قابلیت‌های تخریبی و نظارتی را یکجا جمع کرده است.

کارشناسان مایکروسافت برای نخستین بار در مهرماه گذشته (اکتبر ۲۰۲۵) رد پای گیگاوایپر را شناسایی کردند. این بدافزار با زبان برنامه‌نویسی Go توسعه یافته و برخلاف بسیاری از تهدیدهای مشابه که معمولاً تنها به یک روش برای تخریب داده‌ها متکی هستند، سه مکانیزم مجزا برای نابودی اطلاعات در خود جای داده است.

گیگاوایپر

سه روش تخریب اطلاعات Gigawiper

نخستین مکانیزم یک ماژول مستقل است که اطلاعات را به‌صورت خام و مستقیماً در سطح فیزیکی دیسک بازنویسی می‌کند، بدون آنکه نیازی به بررسی ساختار فایل‌ها یا پارتیشن‌ها داشته باشد. دومین مکانیزم یک ماژول باج‌افزار «جعلی» است که از خانواده بدافزاری Crucio اقتباس شده. این بخش فایل‌ها را رمزگذاری می‌کند، اما برخلاف باج‌افزارهای واقعی، کلید رمزگشایی را جایی ذخیره نمی‌کند و در نتیجه بازگرداندن اطلاعات عملاً غیرممکن است. سومین مکانیزم نیز با اقتباس از بدافزار FlockWiper طراحی شده و درایو سیستمی ویندوز را طی یک فرآیند چندمرحله‌ای موسوم به «پاک‌سازی امن» از بین می‌برد.

gigawiper-3.jpg

فرمان‌های راه دور و قابلیت‌های جاسوسی

گیگاوایپر از طریق یک سرور فرماندهی و کنترل (C2) اداره می‌شود و در مجموع ۲۰ دستور مختلف را از راه دور اجرا می‌کند. فرمان‌های تخریبی تنها بخشی از این مجموعه‌اند و بسیاری از دستورهای دیگر نیز پیامدهای امنیتی جدی برای کاربران عادی و سازمان‌ها دارند.

توانایی‌های جاسوسی این بدافزار به همان اندازه بخش تخریبی آن نگران‌کننده است. گیگاوایپر می‌تواند از صفحه‌نمایش قربانی عکس بگیرد، ویدئو ضبط کند و در صورت دریافت فرمان مربوطه، تصویر صفحه‌نمایش را به‌صورت زنده و همراه با قابلیت کنترل از راه دور صفحه‌کلید و ماوس برای مهاجم پخش کند. این پخش زنده بر بستر پروتکل TCP انجام می‌شود و بدافزار برای پنهان ماندن از دید کاربر، استثناهای اختصاصی در فایروال ویندوز تعریف می‌کند.

gigawiper-3.jpg

نظارت و مدیریت کامل سیستم آلوده

گیگاوایپر افزون بر این، امکانات وسیعی برای نظارت و مدیریت سیستم آلوده در اختیار مهاجم قرار می‌دهد. از جمع‌آوری اطلاعات دقیق درباره سخت‌افزار و نرم‌افزارهای نصب‌شده گرفته تا کنترل فرآیندهای در حال اجرا، Event Log ویندوز و حتی دسترسی به رجیستری.

اسب تروجان روی پس زمینه قرمز

ترکیبی از چند تهدید شناخته‌شده

بر اساس اعلام مایکروسافت، گیگاوایپر حاصل ترکیب دست‌کم سه خانواده بدافزاری مجزاست که پیش از این به‌صورت مستقل شناسایی شده بودند. بررسی روند اجرای کد، نام‌گذاری توابع و رشته‌های مشترک در کد برنامه، ارتباط مستقیم این بدافزار را با خانواده‌های Crucio و FlockWiper تأیید می‌کند. همچنین مایکروسافت مؤلفه سومی با نام CutBrooch را نیز کشف کرده که به احتمال زیاد همان ماژول پاک کننده اطلاعات این بدافزار است.

راهکارهای مقابله با گیگاوایپر

مایکروسافت به سازمان‌ها توصیه کرده است برای کاهش خطر آلودگی به گیگاوایپر، گزینه Tamper Protection را در مایکروسافت دیفندر فعال نگه دارند و همچنین حفاظت ابری این نرم‌افزار امنیتی را روشن بگذارند. به گفته مایکروسافت این اقدام می‌تواند در شناسایی سریع‌تر تهدیدهای تازه، پیش از به‌روزرسانی آنتی ویروس محلی، مؤثر باشد.

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

3 × 4 =