شناسایی یک کارزار فیشینگ عجیب با اهدافی مبهم

/در , , , , /توسط
مهاجمان سایبری در یک حمله فیشینگ از طریق ارسال ایمیل‌هایی با ضمیمه اسناد ورد در ظاهر حاوی اطلاعات محرمانه اقدام به نصب یک ابزار معتبر دسترسی از راه دور بر روی سیستم اهداف خود می‌کنند.
 
 
 به گزارش مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، بر اساس بررسی‌های انجام شده توسط پژوهشگران، این کارزار از ژانویه سال میلادی جاری فعال بوده و با بکارگیری چندین تکینک مخرب به دستگاه‌ها رخنه و امکان دسترسی از راه دور مهاجمان به سیستم قربانیان را فراهم می‌کند.
 
اهداف و قربانیان این کارزار، ایمیلی را دریافت می‌کنند که در آن کاربر تشویق به باز کردن فایل ضمیمه ایمیل می‌شود. در فایل مذکور به این بهانه که حاوی اطلاعات شخصی است از قربانی خواسته می‌شود تا برای وارد کردن رمز درج شده در متن ایمیل و رمزگشایی آن قابلیت ماکرو را در نرم‌افزار Word فعال کند. این ادعای دروغین وقتی در کنار لوگوی شرکت مشهور امنیتی نورتون، سازنده نرم‌افزارهای امنیتی، در فایل ضمیمه قرار می‌گیرد، احتمال در دام افتادن کاربر را بیش از پیش افزایش می‌دهد. 
 
 
با فعال شدن ماکرو کاربر با پنجره‌ای مشابه با شکل زیر مواجه می‌شود.
 
 
در مراحل بعدی، ماکرو اقدام به اجرای فرامینی می‌کند که در نتیجه آنها با بکارگیری پروسه معتبر PowerShell یک ابزار دسترسی از راه دور بر روی سیستم نصب و ماندگار می‌شود.
 
ابزار نصب شده، نسخه‌ای از NetSupport Manger گزارش شده است. NetSupport Manger یک ابزار معتبر دسترسی از راه دور است که معمولاً توسط کارکنان بخش فناوری اطلاعات سازمان‌ها برای اتصال از راه دور به سیستم‌ها مورد استفاده قرار می‌گیرد.
 
در حالی که مهاجمان با اجرای NetSupport Manger در این کارزار اهداف مخربی را دنبال می‌کنند اما با توجه به معتبر بودن این ابزار، محصولات امنیتی و ضدویروس نسبت به آن به‌عنوان یک بدافزار واکنش نشان نمی‌دهند. اگر چه احتمالاً مهاجمان از نسخه‌ای موسوم به کرک استفاده کرده و از کانال‌های قانونی آن را خریداری نکرده‌اند.
 
اکثر این ایمیل‌ها در قالب پیام‌های بازپرداخت، نقل و انتقالات برخط و صورت‌حساب‌هایی از این قبیل است.
 
هنوز مشخص نیست که انگیزه اصلی مهاجمان از اجرای این حملات چه بوده است. ممکن است که این افراد با این سازوکار قصد سرقت فوری اطلاعات را داشته باشند یا در برنامه‌ای دراز مدت اقدام به انجام اموری همچون رصد ایمیل‌های ورودی و خروجی بر روی سیستم آلوده و شناسایی افراد در تماس با قربانی کرده تا بر اساس اطلاعات استخراج شده دست به اجرای حملات هدفمند فیشینگ برای هک حساب‌های کاربری بیشتر بر مبنای حساب اولیه بزنند.
 
از آنجا که موفقیت این کارزار منوط به استفاده از بخش ماکرو در مجموعه نرم‌افزاری Office است توصیه می‌شود که این قابلیت در حالت دائماً غیر فعال قرار داده شود. کاربران نیز باید در باز کردن ایمیل‌های ارسالی از سوی فرستندگان ناآشنا بخصوص در زمانی که در آنها از موارد اضطراری صحبت می‌شود بسیار محتاطانه عمل کنند.
 
نشانه‌های آلودگی فایل‌ها و دامنه‌های مورد استفاده در این کارزار در لینک زیر قابل دریافت است: