پخش Emotet و سرقت اطلاعات محرمانه بانکی توسط حملهای اساماسی
مهاجمین در حال ارسال پیامهای اسام اسیای هستند که به ظاهر از سوی بانکهای قربانیان میباشد؛ با این حال به محض اینکه قربانیان روی لینکهای داخل پیامهای متنی کلیک میکنند از آنها خواسته میشود اطلاعات کارت بانکی خود را ارائه داده و فایلی را که قرار است سیستمهایشان را با بدافزار Emotet آلوده کند دانلود نمایند. در ادامه با ما همراه شوید تا شما را از چند و چون ماجرا باخبر کنیم.
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)، Emotet از زمان بازگشتش در ماه سپتامبر دارد همینطور رشد میکند؛ از جمله میتوان به قابلیت جدید و خطرناک هک وایفای اشاره کرد که چند روز پیش نشان داد میتواند به این بدافزار اجازه دهد همچون کرمی پخش شود. حالا این کمپین (که جدیدترین است) این بدافزار را از طریق smishing –نوعی فیشینگ که به جای ایمیل به پیامهای متنی وابسته است- تحویل میدهد. درحالیکه smishing به طور حتم چیز جدیدی نیست اما محققین میگویند تاکتیک تحویلش مصداقی است از اپراتورهای Emotet که دائماً رویکردهای خود را برای رفتن ورای صِرفِ ایمیلهایی با اسپمهای آلوده تغییر میدهند؛ همین موجب میشود تیمهای دفاعی سخت بتوانند این چالش را از سر راه بردارند. محققین IBM X-Force در تحلیل روز چهارشنبه خود چنین گفتند: «اپراتور Emotet (گَنگ Mealybug) به مرور زمان سطوح فعالیت خود را تغییر داده است؛ برخیاوقات مدتهای زیادی را کامل خاموش میمانند و برخیاوقات هم دورههای فعالیتش را بسیار کم میکند. از اواخر سال 2019 Mealybug سعی کرده فعالیتهای خود را به طرق مختلف (اسپم، ایمیلهای اخاذی جنسی، SMiShing و اقداماتی چون هشدارهای جعلی ویروس کرونا) اجرایی کند».
گفته میشود پیامهای اساماسی با شمارههای آمریکا فرستاده میشوند و خودشان را جای بانکهای رسمی این کشور زدند که به کاربران هشدار میدهند اکانتهای بانکیشان قفل شده است. این پیامها در حقیقت از قربانیان میخواهد روی لینکی کلیک کنند که آنها را به دامنهای (معروف به توزیع بدافزار Emotet) هدایت خواهد کرد. به لحاظ بصری، وقتی قربانیان روی این لینک کلیک میکنند، صفحهی فیشینگ سفارشیسازیشدهای را میبینند که از صفحه بانکداری موبایل آن بانک تقلید میکند. به نقل از محققین، دامنهی صفحهی لندیگِ smishing همان روز که پیامهای متنی ارسال شدند ثبت شدند. این دامنه دارای نام بانک (با دامنهی درجه بالای متفاوتی) بوده و برای این طراحی شده که در گام اول کاربران را متقاعد کند اطلاعات کارت خود را وارد نموده و سپس در گام دوم فایل داکیومنتی را به همراه ماکروهای آلوده دانلود کنند. محققین بعد از بررسی دو فایل باینری که از همین فایل به دست قربانی میرسند یک سری محتوای دورانداختنی و هجو در فایل پیدا کردند که در مورد ترامپ و نامزد ریاست جمهوری مایکل بلومبرگ بود. به عقیدهی محققین این تاکتیک راهی است برای طفره رفتن از شناسایی. جالب است بدانید که تروجان TrickBot اغلب از نوع مشابهی از متود ضد شناسایی (در رابطه با محتوای هجو) استفاده میکند- هدایت کردن لینک بالقوه به بدافزار به عنوان بخشی از کمپین. بااینکه Emotet حیاتش با تروجان بانکداری آغاز شد (در سال 2014) اما دارد به طور پیوستهای به یک ساز و کار تحویل تهدید فولسرویس تبدیل میشود (مثل همان TrickBot در حملات قبلی- همین اواخر یکیشان سازمان ملل متحد را هدف قرار داد).
به نقل از محققین، با علم بر این که Emotet یکی از راههایی است که بواسطهاش پیلودهای TrickBot به سیستمهای آلوده دراپ میشوند، این امکان وجود دارد که چنین حملهای یک کمپین هدفدار باشد که مخصوصاً طراحی شده تا شیوع تروجان TrickBot را تضمین کند. آنها معتقدند که کمپین اخیر smishing به همراه سایر پدیدههای Emotet حاکی از این میباشد که اپراتورهای آن ممکن است در صدد اجرای حملات سایبری در آینده باشند (احتمالاً حول و حوش المپیک 2020 که در ماه جولای برگزار میشود). Mealybug در نظر دارد باتنت خود را توسعه داده، منابع درآمدش که خلاف قانون است را متنوعتر کرده و خود را برای سطح حملهی وسیعتری در ژاپن آماده کند (احتمالاً زودتر از رویداد ورزشی بینالمللی 2020 که تابستان امسال در توکیو برگزار میشود).