خطرناک‌ترین نوع حمله سایبری؛ کشف بدافزاری که به زبان برنامه نویسی ناشناخته‌ای نوشته شده است

یکی از راه‌های مقابله با یک بدافزار و کشف نحوه عملکرد آن دسترسی به کدهای منبع و تحلیل رفتاری آن است. حال تصور کنید زبان برنامه‌نویسی که یک برنامه بدافزار با آن نوشته شده ناشناخته باشد؛ این سخت‌ترین روش برای شناسایی عملکرد بدافزار است که توسعه دهنده بدافزاری به نام NimzaLoader انتخاب نموده و می‌تواند تحلیل رفتاری آن را بسیار سخت و پیچیده کند.

بدافزارها با اهداف خاصی طراحی و ساخته می‌شوند که فارق از کاربردهای آموزشی و آزمون سیستم‌ها، در بیشتر موارد کاربردهای خلافکارانه دارد. برای مقابله با این تهدیدات، شرکت‌های امنیتی می‌توانند از دو روش برای مبارزه و مقابله با آنها استفاده کنند که اولین روش استخراج کد منبع و روش دوم بررسی رفتاری است که به مراتب سخت‌تر و دشوارتر از روش اول است.

در حالت اول پس از رمزگشایی فایل‌های اجرایی و غیراجرایی بدافزار، تلاش می‌شود تا عملکرد برنامه استخراج گردد و عکس‌العملی درخور، برای مقابله با آن طراحی و ارائه گردد. حال تصور کنید پس از استخراج کدهای منبع متوجه شوید که برنامه بدافزار با زبانی غیرقابل شناسایی نوشته شده که نمی‌توانید آن را رمزگشایی کرده و متوجه رفتارش شوید.

مورد بالا در بررسی‌های اخیر موسسه امنیتی Proofpoint از بدافزاری موسوم به NimzaLoader  به دست آمده که نشان می‌دهد زبان برنامه‌نویسی این بدافزار کاملاً ناشناخته و جدید است. پیش از این نیز بدافزاری موسوم به BazarLoader با همین فرمول شناخته شده و زبان برنامه‌نویسی ناشناسی برای نوشتن آن به کار برده شده بود.

محققان پروف پوینت اعلام کردند که این زبان برنامه نویسی Nim نام داشته و شناسایی و تحلیل محتوای کدهای نوشته شده با آن کار دشواری است. بدافزار نیمزالودر برای انجام حملات سایبری به رایانه‌های مجهز به سیستم عامل ویندوز قابل استفاده است و به هکرها امکان می‌دهد فرامین مورد نظر خود را از راه دور بر روی رایانه‌های افراد قربانی اجرا کنند.

در نهایت از این طریق کنترل رایانه‌های هدف، سرقت اطلاعات حساس و انتقال بدافزار یادشده به دیگر رایانه‌ها ممکن می‌شود. گفته می‌شود این بدافزار توسط یک گروه هکری به نام TA۸۰۰ نوشته شده که تا به حال صنایع متعددی را در آمریکای شمالی هدف قرار داده است.

همانطور که عنوان شد گروه یادشده قبلاً بدافزار دیگری به نام بازارلودر را نیز منتشر کرده بود که یک تروجان برای تسهیل دسترسی به رایانه‌های مجهز به ویندوز است و نصب باج افزارهای مختلف را ممکن می‌کند. توزیع هر دو بدافزار از طریق ایمیل‌های فیشینگ انجام می‌شود. هنوز اطلاعات دقیقی در مورد دامنه تخریب این بدافزارها در دست نیست.