کمیته رکن چهارم – مهاجمان در یک کارزار گسترده هرزنامهای که به “نامه عاشقانه” (Love Letter) معروف شده در حال آلودهسازی دستگاهها به انواع بدافزارها از جمله باجافزارها و استخراجکنندگان ارز رمز هستند.
پیوست هرزنامههای ارسالی فایل ZIP است که در آن یک فایل مخرب JavaScript قرار دارد.
فایل JavaScript که محتوای آن برای بیاثر کردن یا حداقل دشوار نمودن فرایند شناسایی مبهمسازی (Obfuscate) شده است فرمانی را از طریق پروسه معتبر PowerShell به اجرا در میآورد. وظیفه فایل مذکور دریافت فایلی مخرب با نام krablin.exe از سایت slpsrgpsrhojifdij[.]ru، ذخیره آن تحت نام winsvcs.exe در مسیر [UserProfile%\[number%\ و سپس اجرا نمودن بر روی دستگاه قربانی است.
در ادامه winsvcs.exe خود نیز تلاش میکند تا پنج بدافزار دیگر را دریافت کرده و سپس آنها را اجرا کند. باجافزار GandCrab، استخراجکننده XMRig و ارسالکننده هرزنامه Phorpiex نمونههایی از این بدافزارها گزارش شدهاند.
winsvcs.exe حافظههای شدنی (Removable Storage) متصل به دستگاه را هم آلوده کرده و عملا آنها را به ناقل بدافزار تبدیل میکند.
عناوین استفاده شده در هرزنامههای مذکور بهشرح زیر میباشد:
- : )
- ; )
- : D
- I love you
- My letter just for you
- Please read and Reply
- Wrote this letter for you
- Just for you!
- This is my love letter to you
- My love letter for you
- Wrote my thoughts down about you
- Wrote the fantasy about us down
- Felt in love with you!
- Always thinking about you
- You are my love!
موارد زیر نیز فهرست ایمیل هایی است که در قسمت From این هرزنامهها مشاهده شدهاند:
- Teddy Bailey <Teddy31[@]8038.com>
- Imogene Carter <Imogene99[@]0354.com>
- Imelda Jones <Imelda31[@]1529.com>
- Ted Hall <Ted93[@]4302.com>
- Deanne Harris <Deanne11[@]5387.com>
- Bob Ross <Bob01[@]0437.com>
- Teddy Gonzalez <Teddy21[@]8381.com>
- Bradford Reed <Bradford99[@]2804.com>
- Taylor Phillips <Taylor74[@]4656.com>
- Deena Hernandez <Deena49[@]1659.com>
استفاده از ضدویروس قدرتمند و بهروز، بکارگیری محصولات ضدهرزنامه (Anti-spam)، کنترل حافظههای جداشدنی و آگاهیرسانی به کاربران در خصوص خطرات باز کردن لینکها و اجرای فایلهای ناآشنا همگی در کنار یکدیگر میتواند سازمان را از گزند اینگونه تهدیدات حفظ کند.
توضیح اینکه فایلهای مخرب JavaScript مورد اشاره در این مطلب با نامهای زیر قابل شناسایی میباشند:
Bitdefender:
– JS:Trojan.Cryxos.1925
– Trojan.Agent.DNBH
– Trojan.GenericKD.31505957
McAfee:
– JS/Nemucod.zw
Sophos:
– JS/DwnLdr-XCT
– JS/DwnLdr-XCS
منبع : شبکه گستر