بدافزار چندمرحله‌ای و پیشرفته Chaplin توسط یک فایل پاورشل تحت عنوان Mapping.ps۱ فراخوانی می‌شود.

بدافزار چندمرحله‌ای و پیشرفته Chaplin توسط یک فایل پاورشل تحت عنوان Mapping.ps۱ فراخوانی می‌شود.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، با توجه به اینکه شواهدی از فعالیت بدافزار Chaplin در زیرساخت‌های فناوری اطلاعات حوزه صنعت کشور رصد شده است در این مطلب تشریح دقیق‌تر از عملکرد آن به‌همراه فایل‌ها و اسکریپت‌های مخرب بیان می‌شود.

بدافزار Chaplin توسط یک فایل پاورشل تحت عنوان Mapping.ps۱ فراخوانی می‌شود. این فایل پاورشل به صورت چندمرحله‌ای طراحی شده و اهم اقدامات مخرب این فایل عبارت است از:
• گزینش سیستم هدف
• ایجاد مسیر هدف
• انتقال فایل‌های مورد نیاز به مسیر هدف
• غیرفشرده‌سازی فایل‌های موردنیاز
• ایجاد، اجرا و سپس حذف سرویس
• حذف لاگ فعالیت‌ها

نکته حایز اهمیت در Mapping.ps۱ آن است که این فایل، اطلاعات احراز هویت برای اجرای مراحل فوق را در سطح ممتاز داراست. پس از اینکه Chaplin واسط‌های شبکه را غیرفعال می‌کند، فایل Screen.exe کلیدهای رجیستری LSA را حذف کرده و از این طریق، درصدد ایجاد اختلال در فرایند احراز هویت کاربران و ایجاد مشکل در فرایند Boot سیستم برمی‌آید.