موسسات مالی و بانک‌ها، هدف درب‌پشتی FlawedAmmyy

کمیته رکن چهارم – یک کارزار هرزنامه‌ای، در روشی غیرمعمول، کاربران موسسات مالی و بانک‌ها را هدف حمله خود قرار داده است. هرزنامه‌های ارسال شده در جریان این کارزار، ایمیل‌هایی با پیوست فایل Microsoft Office Publisher هستند که با اجرای آن توسط کاربر، دستگاه به درب‌پشتی مخرب FlawedAmmyy آلوده می‌شود.

این هرزنامه‌ها با عنوان Payment Advice DHS[#########]j دامنه‌های متعلق به موسسات مالی و بانک‌ها را هدف قرار داده‌اند.

در هرزنامه‌های ارسالی با استفاده از روش‌های مهندسی اجتماعی کاربر تشویق به اجرای فایل پیوست می‌شود. در زمان باز شدن فایل – بر اساس تنظیمات پیش‌فرض در مجموعه نرم‌افزاری Office – از کاربر خواسته می‌شود تا برای دسترسی کامل به فایل، بخش ماکرو را فعال کند.

در صورت فعال‌سازی بخش ماکرو، کد تزریق شده در فایل در پشت صحنه اقدام به دریافت درب‌پشتی FlawedAmmyy از نشانی http[://]f79q.com/aa1 نموده و آن را بر روی دستگاه قربانی اجرا می‌کند.

استفاده از فایل‌های Office Publisher با پسوند pub روشی غیرمتداول در میان مهاجمان سایبری است. هر چند که در نمونه‌های پیشین نیز مهاجمان برای انتشار درب‌پشتی FlawedAmmyy از روش‌هایی جدید بهره گرفته بودند که به نمونه هایی از آنها در این خبر و این خبر پرداخته شده است.

درب پشتی FlawedAmmy بر اساس کدهای افشا شده نسخه ۳ برنامه معتبر Ammyy Admin توسعه داده شده است. این درب‌پشتی کنترل کامل دستگاه را در اختیار مهاجمان قرار داده و آنها را قادر به سرقت فایل‌ها و داده‌های حساسی همچون اطلاعات اصالت‌سنجی می‌کند.

به‌نظر می‌رسد که گرداننده کارزار اخیر، شبکه مخرب Necurs است. Necurs، یکی از بزرگترین و اصلی‌ترین شبکه‌های مخرب ارسال‌کننده هرزنامه است. در گزارشی که شرکت مک‌آفی در ژوئن سال ۲۰۱۸ آن را منتشر کرد، سهم Necurs در شبکه‌های مخرب ارسال‌کننده هرزنامه در سه ماهه اول ۲۰۱۸، ۷۷ درصد اعلام شده است.

همان طور که اشاره شد تمرکز مهاجمان این کارزار، رخنه به دستگاه کارکنان موسسات مالی و بانک‌هاست. هفته پیش اعلام شد که پلیس فدرال آمریکا (FBI) در نامه‌ای محرمانه به بانک‌ها هشدار داده که بر پایه اطلاعاتی که به دست این نهاد رسیده، تبهکاران سایبری در حال آماده‌سازی یک حمله گسترده و هماهنگ برای برداشت غیرمجاز پول از تجهیزات خودپرداز (ATM) در سرتاسر جهان هستند. برخی کارشناسان اجرای این کارزار را با نامه محرمانه پلیس فدرال آمریکا مرتبط دانسته‌اند.

نمونه بررسی شده در این خبر با نام‌های زیر قابل شناسایی است:

Bitdefender:
   – VB:Trojan.VBA.Downloader.MR
   – Trojan.GenericKD.40404814
   – Trojan.GenericKD.40402525

McAfee:
   – RDN/Generic.ole
   – Artemis!BE6A53FBEE55
   – Artemis!BACD1120AD09

Sophos:
   – Troj/DocDl-PHS
   – Troj/Bckdoor-AB
   – Mal/Generic-S

همچنین با توجه به بهره‌گیری مهاجمان این کارزار از ماکرو مطالعه این راهنما به‌منظور پیکربندی صحیح تنظیمات امنیتی این قابلیت مجموعه نرم‌افزاری Office به تمامی کاربران و راهبران شبکه توصیه می‌شود.

منبع : شبکه گستر