KopiLuwak ؛ جاسوس‌افزاری پیشرفته که از چندین لایه کد JavaScript استفاده می‌کند.

مرکز مدیریت راهبردی افتا به نقل از شرکت Proofpoint از ایجاد کمپین سایبری جدیدی توسط گروه Turla خبر داده است.

Proofpoint نمونه‌ای از Dropper جدید بدافزار KopiLuwak را کشف کرده‌ که محققان این شرکت بر این باورند که توسط گروه Turla توسعه داده شده است.

بدافزار مذکور که مبتنی بر JavaScript است، برای اولین بار به همراه یک نامه رسمی در سال 2017، از طرف سفارت قطر در قبرس به وزارت امور خارجه قبرس ارسال شد. بدافزار KopiLuwak از چندین لایه کد JavaScript برای جلوگیری از شناسایی شدن استفاده می‌کند.

کد مخرب، با ایجاد کلیدی در محضرخانه (Registry) در سیستم ماندگار می‌شود. با آلوده شدن سیستم، کد مخرب می‌تواند مجموعه‌ای از فرامین را برای جمع‌آوری اطلاعات و سرقت آنها اجرا کند. داده‌های جمع‌آوری شده در فایل ذخیره شده و پس از رمز شدن و ذخیره شدن در حافظه، حذف می‌شوند.

این بدافزار توسط مجموعه‌ای از سایت‌های کنترل شده و نشانی IP این سایتها نیز درون این بدافزار وجود دارد. سرور فرماندهی (Command & Control) نیز می‌تواند با استفاده از دستور Wscript.shell.run()، فرامین مختلف را برای سیستم آلوده ارسال کند.

به گفته مرکز مدیریت راهبردی افتا، Turla نام گروه جاسوسی سایبری مربوط به روسیه است که از سال 2007 فعال بوده و سازمان‌های دولتی و سازمان‌های تجاری خصوصی را هدف قرار می‌داده است.

منبع : shabakeh.net