کمیته رکن چهارم – محققان امنیت سایبری هشدار دادند که بسیاری از هکرها با ساختن وبسایتهای جعلی در حال نفوذ به سیستمهای کاربران اینترنت هستند.
عوامل تهدید در حال ایجاد وبسایتهای جعلی هستند که نصبکنندههای نرمافزاری تروجانشده را میزبانی میکنند. این وبسایتها کاربران ناآگاه را فریب میدهند تا یک بدافزار دانلودکننده به نام Fruity را با هدف نصب ابزارهای تروجان از راه دور مانند Remcos RAT دانلود کنند.
در میان نرمافزارهای مورد بحث، ابزارهای مختلفی برای تنظیم دقیق پردازندهها، کارتهای گرافیک و بایوس، ابزارهای نظارت بر سختافزار رایانه شخصی و برخی برنامههای دیگر وجود دارد.
چنین نصبکنندههایی بهعنوان یک فریب مورد استفاده قرار میگیرند و نه تنها شامل نرمافزاری مورد علاقه قربانیان احتمالی هستند، بلکه شامل خود تروجان با تمام اجزای آن نیز میشوند. بردار دسترسی اولیه دقیق مورد استفاده در کمپین نامشخص است اما به طور بالقوه می تواند از فیشینگ گرفته تا دانلود ناخواسته (drive by download ) و یا تبلیغات متغیر باشد.
از کاربرانی که وارد سایت جعلی شدند، خواسته می شود یک بسته نصب کننده ZIP را دانلود کنند. نصب کننده، علاوه بر فعال کردن فرآیند نصب استاندارد، به طور مخفیانه تروجان Fruity را ذخیره میکند، یک بدافزار مبتنی بر پایتون که یک فایل MP3 (“Idea.mp3”) را برای بارگذاری یک فایل تصویری (“Fruit.png”) باز می کند تا آلودگی چند مرحله ای را فعال کند. این فایل تصویری از روش استگانوگرافی برای مخفی کردن دو فایل اجرایی (کتابخانههای dll .) و کد پوسته (shell) برای راهاندازی مرحله بعدی در داخل آن استفاده میکند.Fruity همچنین برای دور زدن تشخیص آنتی ویروس بر روی میزبان در معرض خطر و در نهایت راه اندازی محموله Remcos RAT با استفاده از تکنیکی به نام فرآیند doppelgänging طراحی شده است.
با این حال، توالی حمله می تواند برای توزیع انواع بدافزار مورد سوء استفاده قرار گیرد، بنابراین لازم است که کاربران به دانلود نرم افزار فقط از منابع قابل اعتماد، پایبند باشند.
منبع : افتانا