کمیته رکن چهارم – یک پویش فیشینگ پیشرفته، با ارسال رایانامههای جعلی از طرف شرکت Xero قربانیان را مورد هدف قرار میدهد. اگر قربانیان فریب بخورند، با یک تروجان بانکی به نام Dridex و فعالیتهایی برای سرقت اطلاعات سروکار خواهند داشت. Xero یک شرکت نرمافزاری مستقر در نیوزیلند است که نرمافزار حسابداری مبتنی بر ابر را برای کسب و کارهای کوچک و متوسط توسعه میدهد. به گفته محققان فهیم عباسی و ردل مندرز در Trustwave، پیامهای جعلی به خوبی ساخته میشوند و مانند پیامهای صورت حساب حرفهای هستند که به کاربران توصیه میکنند فاکتور قبض خود را به صورت برخط و با کلیک بر روی پیوند فاکتور مشاهده کنند.
پیوند فاکتوری که در متن رایانامه است به یک URL که در یک دامنه جعلی Xero قرار دارد، اشاره میکند، درحالیکه URLهای دیگر موجود در متن رایانامه به وبگاه قانونی Xero.com اشاره میکنند. پیوند مخرب منجر به بارگیری یک بایگانی فشرده میشود که شامل یک پرونده جاوا اسکریپت مخرب است. در زمان اجرا، این جاوا اسکریپت یک بدافزار را بارگیری کرده و راهاندازی میکند.
محققان در یک تحلیل توضیح دادند: «این یک نمونه بدافزار پیچیده است که چندین وظیفه را انجام میدهد. ابتدا اطلاعات مربوط به سامانه، برنامههای نصب شده و کاربران را جمعآوری میکند. این فرآیند توسط تعدادی از تنظیمات مختلف سامانه دنبال میشود و بهواسطه ثبتنام تنظیمات مربوط به مرورگر اکسپلورر تغییر میکند. این بدافزار همچنین تلاش میکند تا بعضی از فرآیندهای ویندوز مانند cheatsemy.exe و net.exe را به دام بیندازد که با استفاده از آنها اطلاعات سامانه را جمعآوری میکند. این اطلاعات با قالب XML ذخیره و پس از آن رمزنگاری شده و به کارگزار دستور و کنترل فرستاده میشود.»
البته کد جاوا اسکریپت، بدافزار Dridex را که به منظور سرقت اطلاعات بانکی و شخصی طراحی شده در سامانه قربانی رها میکند و این بدافزار با تزریق خود در مرورگرهای فایرفاکس و کروم و اینترنت اکسپلورر کارهایش را انجام میدهد. این بدافزار به فعالیت مرورگر نظارت میکند و از بانکهای برخط هدف که در پوشه پیکربندی آن فهرست شدهاند، اطلاعات حساس را سرقت میکند. محققان گفتند که این پویش به طور وسیعی در حال گسترش است، به طوریکه کلاهبرداران رایانامههای فیشینگ را در سراسر جهان ارسال میکنند. پویشهای مرتبطی نیز وجود دارد که احتمالا توسط همان گروه اتفاق انجام میشود و با استفاده از دراپباکس، کوئیکبوک و MYOB کاربران را فریب میدهند.
محققان میگویند: «مهاجمان از سادگی ارائه شده توسط زیرساخت رایانامه برای توزیع تروجانهای بانکی به سمت قربانیان سراسر جهان، استفاده میکنند. ما همچنین در طول هفته، چندین پویش مشابه را مشاهده کردیم که مشتریان دیگر شرکتهای نرمافزاری حسابداری برخط شناخته شده را مورد هدف قرار داده بودند. چنین حملاتی به عنوان یک رویداد جدید در حوزه نفوذ مشاهده میشود که مهاجمان از اعتماد مردم به نشانهای خاص سوءاستفاده می کنند.» به عنوان یک معیار کاهش، مشتریان باید از باز کردن هر پیام رایانامه که مشکوک به نظر میرسد و به خصوص از باز کردن هر گونه پوشه قابل بارگیری ناشناخته، اجتناب کنند. مشتریان همچنین باید از باز کردن بایگانیهای فشرده که از منابع ناشناخته دریافت شدهاند، خودداری کرده و از اجرای پوشههای با قالب ناشناخته مانند جاوا اسکریپت اجتناب کنند.
منبع : news.asis.io
