پویش فیشینگ Xero، بدافزار Dridex را به صورت جهانی منتشر می‌کند

کمیته رکن چهارم – یک پویش فیشینگ پیشرفته، با ارسال رایانامه‌های جعلی از طرف شرکت Xero قربانیان را مورد هدف قرار می‌دهد. اگر قربانیان فریب بخورند، با یک تروجان بانکی به نام Dridex و فعالیت‌هایی برای سرقت اطلاعات سروکار خواهند داشت. Xero یک شرکت نرم‌افزاری مستقر در نیوزیلند است که نرم‌افزار حسابداری مبتنی‌ بر ابر را برای کسب و کارهای کوچک و متوسط توسعه می‌دهد. به گفته محققان فهیم عباسی و ردل مندرز در Trustwave، پیام‌های جعلی به خوبی ساخته می‌شوند و مانند پیام‌های صورت حساب حرفه‌ای هستند که به کاربران توصیه می‌کنند فاکتور قبض خود را به صورت برخط و با کلیک بر روی پیوند فاکتور مشاهده کنند.

پیوند فاکتوری که در متن رایانامه است به یک URL که در یک دامنه جعلی Xero قرار دارد، اشاره می‌کند، درحالی‌که URLهای دیگر موجود در متن رایانامه به وب‌گاه قانونی Xero.com اشاره می‌کنند. پیوند مخرب منجر به بارگیری یک بایگانی فشرده می‌شود که شامل یک پرونده جاوا اسکریپت مخرب است. در زمان اجرا، این جاوا اسکریپت یک بدافزار را بارگیری کرده و راه‌اندازی می‌کند.

محققان در یک تحلیل توضیح دادند: «این یک نمونه بدافزار پیچیده است که چندین وظیفه را انجام می‌دهد. ابتدا اطلاعات مربوط به سامانه، برنامه‌های نصب شده و کاربران را جمع‌آوری می‌کند. این فرآیند توسط تعدادی از تنظیمات مختلف سامانه دنبال می‌شود و به‌واسطه ثبت‌نام تنظیمات مربوط به مرورگر اکسپلورر تغییر می‌کند. این بدافزار همچنین تلاش می‌کند تا بعضی از فرآیندهای ویندوز مانند cheatsemy.exe و net.exe را به دام بیندازد که با استفاده از آن‌ها اطلاعات سامانه را جمع‌آوری می‌کند. این اطلاعات با قالب XML ذخیره و پس از آن رمزنگاری شده و به کارگزار دستور و کنترل فرستاده می‌شود.»

البته کد جاوا اسکریپت، بدافزار Dridex را که به منظور سرقت اطلاعات بانکی و شخصی طراحی شده در سامانه قربانی رها می‌کند و این بدافزار با تزریق خود در مرورگرهای فایرفاکس و کروم و اینترنت اکسپلورر کارهایش را انجام می‌دهد. این بدافزار به فعالیت مرورگر نظارت می‌کند و از بانک‌های برخط هدف که در پوشه پیکربندی آن فهرست شده‌اند، اطلاعات حساس را سرقت می‌کند. محققان گفتند که این پویش به طور وسیعی در حال گسترش است، به طوری‌که کلاهبرداران رایانامه‌های فیشینگ را در سراسر جهان ارسال می‎کنند. پویش‌های مرتبطی نیز وجود دارد که احتمالا توسط همان گروه اتفاق انجام می‌شود و با استفاده از دراپ‌باکس، کوئیک‌بوک و MYOB کاربران را فریب می‌دهند.

محققان می‌گویند: «مهاجمان از سادگی ارائه شده توسط زیرساخت رایانامه برای توزیع تروجان‌های بانکی به سمت قربانیان سراسر جهان، استفاده می‌کنند. ما همچنین در طول هفته، چندین پویش مشابه را مشاهده کردیم که مشتریان دیگر شرکت‌های نرم‎‌افزاری حسابداری برخط شناخته شده را مورد هدف قرار داده بودند. چنین حملاتی به عنوان یک رویداد جدید در حوزه نفوذ مشاهده می‌شود که مهاجمان از اعتماد مردم به نشان‌‍‌های خاص سوء‌استفاده می کنند.» به عنوان یک معیار کاهش، مشتریان باید از باز کردن هر پیام رایانامه که مشکوک به نظر می‌رسد و به خصوص از باز کردن هر گونه پوشه قابل بارگیری ناشناخته، اجتناب کنند. مشتریان همچنین باید از باز کردن بایگانی‌های فشرده که از منابع ناشناخته دریافت شده‌اند، خودداری کرده و از اجرای پوشه‌های با قالب ناشناخته مانند جاوا اسکریپت اجتناب کنند.

منبع : news.asis.io

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.