کلاهبرداران سایبری به دنبال قربانیان جویای شغل در صنعت کریپتو

کمیته رکن چهارم – هکرهایی اهل روسیه برای کاربران پیشنهادهای شغلی جعلی ارسال می‌کنند تا بتوانند از آن‌ها کلاهبرداری کنند.

کارشناسان هشدار داده‌اند که بار دیگر هکرهایی پیدا شده‌اند که از کلاهبرداری کلاسیک یعنی «پیشنهاد کار جعلی در صنعت کریپتو» برای توزیع بدافزار خطرناک استفاده می‌کنند.

با این حال، به جای گروه معمولی لازاروس کره شمالی، این بار این روس‌ها هستند که سعی می‌کنند از کارگران ساده‌لوح ارزهای دیجیتال یوء استفاده کنند. محققان امنیت سایبری از ترند مایکرو (Trend Micro) اخیراً عوامل تهدید ناشناس روسی را مشاهده کردند که کارگران صنعت ارزهای دیجیتال واقع در شرق اروپا را هدف قرار می‌دهند.

آنها ایمیل‌هایی را ارسال می‌کردند و از قربانیان دعوت می‌کردند تا یک پیشنهاد شغلی جدید در یک شرکت رمزنگاری را بررسی کنند. این ایمیل دارای دو پیوست است، یکی فایل txt. به ظاهر بی‌خطر (با عنوان «پرسش‌های مصاحبه») و دیگری بدافزار است (با عنوان «شرایط مصاحبه.word.exe»).

درایو آسیب‌پذیر خودتان را بیاورید

این حمله یک کمپین سه مرحله‌ای است: اگر قربانی فایل اجرایی را اجرا کند، بار دومی را دانلود می‌کند که از یک آسیب‌پذیری در درایور اینتل سوء استفاده می‌کند که با نام CVE-2015-2291 ردیابی می‌شود. این روش که معمولاً به عنوان «درایور آسیب‌پذیر خودتان را بیاورید» به عوامل تهدید اجازه می‌دهد تا دستورات را با امتیازات هسته اجرا کنند و آن‌ها از این توانایی برای غیرفعال کردن محافظت از آنتی‌ویروس استفاده می‌کنند.

هنگامی که آنتی ویروس غیرفعال می‌شود، دانلود سومین بار آغاز می‌شود که نوعی بدافزار Stealerium به نام Enigma است.

این بدافزار که از یک کانال خصوصی تلگرام استخراج می‌شود، می‌تواند اطلاعات سیستم، توکن‌های مرورگر، رمزهای عبور ذخیره‌شده (عملاً تمام مرورگرهای محبوب امروزی از جمله کروم، اج، اُپرا و غیره را هدف قرار می‌دهد)، داده‌های ذخیره شده در Outlook، تلگرام، سیگنال، اوپن وی‌پی‌ان و بیشتر را استخراج کند. علاوه بر این، Enigma می‌تواند اسکرین‌شات‌ها را بگیرد و محتوای کلیپ‌بورد را استخراج کند.

وقتی Enigmaبه آنچه می‌خواهد می‌رسد، همه آن‌ها را در یک آرشیو Data.zip فشرده می‌کند و آن را از طریق تلگرام ارسال می‌کند.

در حالی که پیشنهادهای شغلی جعلی معمولاً کاری است که گروه لازاروس انجام می‌دهد، ترند مایکرو معتقد است که این بار، این گروه منشاء روسی دارد. ظاهراً یکی از سرورهای لاگ میزبان پنل Amadey C2 است که تا حد زیادی در بین مجرمان سایبری روسی محبوبیت دارد. علاوه بر این، سرور «Deniska» را اجرا می‌کند، یک نوع سرور لینوکس که تقریباً منحصراً توسط روس‌ها استفاده می‌شود و منطقه زمانی پیش‌فرض سرور نیز روی مسکو تنظیم شده است.

منبع: افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.