کمیته رکن چهارم – هکرهایی اهل روسیه برای کاربران پیشنهادهای شغلی جعلی ارسال میکنند تا بتوانند از آنها کلاهبرداری کنند.
کارشناسان هشدار دادهاند که بار دیگر هکرهایی پیدا شدهاند که از کلاهبرداری کلاسیک یعنی «پیشنهاد کار جعلی در صنعت کریپتو» برای توزیع بدافزار خطرناک استفاده میکنند.
با این حال، به جای گروه معمولی لازاروس کره شمالی، این بار این روسها هستند که سعی میکنند از کارگران سادهلوح ارزهای دیجیتال یوء استفاده کنند. محققان امنیت سایبری از ترند مایکرو (Trend Micro) اخیراً عوامل تهدید ناشناس روسی را مشاهده کردند که کارگران صنعت ارزهای دیجیتال واقع در شرق اروپا را هدف قرار میدهند.
آنها ایمیلهایی را ارسال میکردند و از قربانیان دعوت میکردند تا یک پیشنهاد شغلی جدید در یک شرکت رمزنگاری را بررسی کنند. این ایمیل دارای دو پیوست است، یکی فایل txt. به ظاهر بیخطر (با عنوان «پرسشهای مصاحبه») و دیگری بدافزار است (با عنوان «شرایط مصاحبه.word.exe»).
درایو آسیبپذیر خودتان را بیاورید
این حمله یک کمپین سه مرحلهای است: اگر قربانی فایل اجرایی را اجرا کند، بار دومی را دانلود میکند که از یک آسیبپذیری در درایور اینتل سوء استفاده میکند که با نام CVE-2015-2291 ردیابی میشود. این روش که معمولاً به عنوان «درایور آسیبپذیر خودتان را بیاورید» به عوامل تهدید اجازه میدهد تا دستورات را با امتیازات هسته اجرا کنند و آنها از این توانایی برای غیرفعال کردن محافظت از آنتیویروس استفاده میکنند.
هنگامی که آنتی ویروس غیرفعال میشود، دانلود سومین بار آغاز میشود که نوعی بدافزار Stealerium به نام Enigma است.
این بدافزار که از یک کانال خصوصی تلگرام استخراج میشود، میتواند اطلاعات سیستم، توکنهای مرورگر، رمزهای عبور ذخیرهشده (عملاً تمام مرورگرهای محبوب امروزی از جمله کروم، اج، اُپرا و غیره را هدف قرار میدهد)، دادههای ذخیره شده در Outlook، تلگرام، سیگنال، اوپن ویپیان و بیشتر را استخراج کند. علاوه بر این، Enigma میتواند اسکرینشاتها را بگیرد و محتوای کلیپبورد را استخراج کند.
وقتی Enigmaبه آنچه میخواهد میرسد، همه آنها را در یک آرشیو Data.zip فشرده میکند و آن را از طریق تلگرام ارسال میکند.
در حالی که پیشنهادهای شغلی جعلی معمولاً کاری است که گروه لازاروس انجام میدهد، ترند مایکرو معتقد است که این بار، این گروه منشاء روسی دارد. ظاهراً یکی از سرورهای لاگ میزبان پنل Amadey C2 است که تا حد زیادی در بین مجرمان سایبری روسی محبوبیت دارد. علاوه بر این، سرور «Deniska» را اجرا میکند، یک نوع سرور لینوکس که تقریباً منحصراً توسط روسها استفاده میشود و منطقه زمانی پیشفرض سرور نیز روی مسکو تنظیم شده است.
منبع: افتانا