
تیم تهدیدات مایکروسافت (Microsoft Threat Intelligence) از کشف یک بدافزار پیشرفته و چندکاره به نام «گیگاوایپر» (GigaWiper) خبر داد که علاوه بر قابلیت پاکسازی کامل اطلاعات هارددیسک، امکان جاسوسی گسترده و حتی پخش مستقیم صفحه نمایش سیستم قربانی را نیز فراهم میکند.
بر اساس اطلاعات منتشر شده در وبلاگ امنیتی مایکروسافت، گیگاوایپر در واقع یک درِ پشتی است که با ترکیب چند خانواده بدافزاری شناختهشده ساخته شده و به همین دلیل طیف گستردهای از قابلیتهای تخریبی و نظارتی را یکجا جمع کرده است.
کارشناسان مایکروسافت برای نخستین بار در مهرماه گذشته (اکتبر ۲۰۲۵) رد پای گیگاوایپر را شناسایی کردند. این بدافزار با زبان برنامهنویسی Go توسعه یافته و برخلاف بسیاری از تهدیدهای مشابه که معمولاً تنها به یک روش برای تخریب دادهها متکی هستند، سه مکانیزم مجزا برای نابودی اطلاعات در خود جای داده است.

سه روش تخریب اطلاعات Gigawiper
نخستین مکانیزم یک ماژول مستقل است که اطلاعات را بهصورت خام و مستقیماً در سطح فیزیکی دیسک بازنویسی میکند، بدون آنکه نیازی به بررسی ساختار فایلها یا پارتیشنها داشته باشد. دومین مکانیزم یک ماژول باجافزار «جعلی» است که از خانواده بدافزاری Crucio اقتباس شده. این بخش فایلها را رمزگذاری میکند، اما برخلاف باجافزارهای واقعی، کلید رمزگشایی را جایی ذخیره نمیکند و در نتیجه بازگرداندن اطلاعات عملاً غیرممکن است. سومین مکانیزم نیز با اقتباس از بدافزار FlockWiper طراحی شده و درایو سیستمی ویندوز را طی یک فرآیند چندمرحلهای موسوم به «پاکسازی امن» از بین میبرد.

فرمانهای راه دور و قابلیتهای جاسوسی
گیگاوایپر از طریق یک سرور فرماندهی و کنترل (C2) اداره میشود و در مجموع ۲۰ دستور مختلف را از راه دور اجرا میکند. فرمانهای تخریبی تنها بخشی از این مجموعهاند و بسیاری از دستورهای دیگر نیز پیامدهای امنیتی جدی برای کاربران عادی و سازمانها دارند.
تواناییهای جاسوسی این بدافزار به همان اندازه بخش تخریبی آن نگرانکننده است. گیگاوایپر میتواند از صفحهنمایش قربانی عکس بگیرد، ویدئو ضبط کند و در صورت دریافت فرمان مربوطه، تصویر صفحهنمایش را بهصورت زنده و همراه با قابلیت کنترل از راه دور صفحهکلید و ماوس برای مهاجم پخش کند. این پخش زنده بر بستر پروتکل TCP انجام میشود و بدافزار برای پنهان ماندن از دید کاربر، استثناهای اختصاصی در فایروال ویندوز تعریف میکند.

نظارت و مدیریت کامل سیستم آلوده
گیگاوایپر افزون بر این، امکانات وسیعی برای نظارت و مدیریت سیستم آلوده در اختیار مهاجم قرار میدهد. از جمعآوری اطلاعات دقیق درباره سختافزار و نرمافزارهای نصبشده گرفته تا کنترل فرآیندهای در حال اجرا، Event Log ویندوز و حتی دسترسی به رجیستری.

ترکیبی از چند تهدید شناختهشده
بر اساس اعلام مایکروسافت، گیگاوایپر حاصل ترکیب دستکم سه خانواده بدافزاری مجزاست که پیش از این بهصورت مستقل شناسایی شده بودند. بررسی روند اجرای کد، نامگذاری توابع و رشتههای مشترک در کد برنامه، ارتباط مستقیم این بدافزار را با خانوادههای Crucio و FlockWiper تأیید میکند. همچنین مایکروسافت مؤلفه سومی با نام CutBrooch را نیز کشف کرده که به احتمال زیاد همان ماژول پاک کننده اطلاعات این بدافزار است.
راهکارهای مقابله با گیگاوایپر
مایکروسافت به سازمانها توصیه کرده است برای کاهش خطر آلودگی به گیگاوایپر، گزینه Tamper Protection را در مایکروسافت دیفندر فعال نگه دارند و همچنین حفاظت ابری این نرمافزار امنیتی را روشن بگذارند. به گفته مایکروسافت این اقدام میتواند در شناسایی سریعتر تهدیدهای تازه، پیش از بهروزرسانی آنتی ویروس محلی، مؤثر باشد.



