کمیته رکن چهارم – بر اساس گزارش منتشر شده از سوی شرکت مایکروسافت، کمپین حملات جدید بدافزاری گروه TA505 در حال استفاده از پیوستهای دارای HTML برای تحویل فایلهای مخرب اکسل به قربانیان است. گفته میشود این اولینباری است که مهاجمان از این شیوه برای اجرای حملات خود استفاده میکنند.
یافتههای جدید محققان امنیتی شرکت مایکروسافت نشان میدهد که کمپین حملات بدافزاری جدید گروه TA505 در حال استفاده از پیوستهای دارای HTML برای تحویل فایلهای مخرب اکسل به قربانیان است. به گفته محققان مایکروسافت، پیلود نهایی بهکار رفته در ایمیلهای فیشینگ این حملات، با استفاده از یک فایل اکسل که در آن از یک ماکروی مخرب استفاده شده است، به قربانی تحویل داده میشود.
گروه TA505 که با نامهای Evil Corp و SectorJ04 نیز شناخته میشود، یکی از گروههای هک در حوزه سرقت اطلاعات مالی است که حداقل از سال ۲۰۱۴ در حال فعالیت است. این گروه بهسبب تمرکز روی حمله علیه شرکتهای خرده فروشی و موسسات مالی از طریق کمپینهای هرزنامه که توسط باتنت Necurs هدایت میشود، دارای شهرت بسیاری است.
محققان شرکت مایکروسافت در رابطه با حملات جدید این گروه گفتهاند که هکرهای TA505 از هدایتگرهای HTML در ایمیلهای خود استفاده کردهاند که هنگام باز شدن ایمیل، کدهای HTML بهکار رفته در آن، منجر به بارگیری یک فایل اکسل دارای کدهای ماکرو مخرب بهنام Dudear در سیستم کاربر میشود.
این موضوع در حالی است که در کمپینهای قبلی، هکرها فایل بدافزار را بهعنوان یک پیوست در ایمیل قرار میدادند یا از URLهای منتهی به وبسایتهای مخرب استفاده میکردند.
همچنین یافتههای محققان مایکروسافت نشان میدهد که اپراتورهای این کمپین فیشینگ از فایلهای HTML محلی شده به زبانهای مختلف برای قربانیانی از سراسر جهان استفاده میکنند. علاوه بر این، مهاجمان از یک سرویس ردیابی IP استفاده میکنند که به آنها اجازه میدهد آدرسهای IP دستگاههایی که فایل اکسل مخرب را بارگیری میکنند را ردیابی کنند.
بدافزار بهکار رفته در این حملات، پس از اجرا در رایانه قربانی، سعی میکند که یک تروجان سارق اطلاعات بهنام GraceWire را دریافت و اجرا کند.
این تروجان نیز هممانند دیگر بدافزارهای سارق اطلاعات، پس از جمعآوری اطلاعات حساس از دستگاه قربانی، آنها را از طریق سرور کنترل و فرمان برای اپراتورها ارسال میکند.
منبع: سرتفا
