کمپین فیشینگ Xero جعلی بدافزار Dridex را در سرتاسر دنیا منتشر کرد

هم رسان: یک کمپین فیشینگ پیشرفته و پیچیده در حال انتشار در سرتاسر دنیا است که با ارسال ایمیل‌های جعلی از طرف Xero قربانیان خود را مورد هدف قرار داده است.

به گزارش پایگاه خبری هم رسان به نقل از اینفوسکیریتی، اگر قربانیان گول این ایمیل را بخورند، درگیر یک تروجان بانکی به نام Dridex و اقدامات سرقت اطلاعات خواهند شد.
Xero یک شرکت نرم افزاری واقع در نیوزیلند است که نرم افزار حسابداری مبتنی بر ابر را برای کسب و کارهای کوچک و متوسط توسعه می‌دهد. به گفته «فهیم عباسی» و «ردل مندرز» محققان Trustwave، پیام‌های جعلی با مهارت تمام آماده شده‌اند و شبیه به پیام‌های حاوی صورتحساب‌های به صورت حرفه‌ای طراحی شده‌ای هستند که به کاربران پیشنهاد می‌کنند فاکتور صورتحساب خود را با کلیک بر روی لینک فاکتور به صورت آنلاین مشاهده کنند.
لینک فاکتور در متن ایمیل به یک URL میزبانی شده در دامین جعلی Xero اشاره می‌کند، در حالی که URL های دیگر به سایت مجاز Xero.com اشاره دارند. لینک مخرب منجر به دانلود یک Zip می‌شود که حاوی یک فایل جاوا اسکریپتی مخرب است. این فایل جاوا اسکریپت در هنگام اجرا بدافزار را دانلود و راه اندازی می‌کند.
محققان در یک تجزیه و تحلیل توضیح دادند: «این یک نمونه بدافزار پیچیده است که چندین وظیفه را انجام می‌دهد. ابتدا اطلاعات مربوط به سیستم، برنامه‌های نصب شده و کاربران را جمع آوری می‌کند. سپس با تنظیم سیاست در سیستم و ایجاد تغییراتی در پیکربندی اینترنت اکسپلورر از طریق رجیستری کار خود را ادامه می‌دهد. این بدافزار همچنین تلاش می‌کند پردازش‌های بی خطر ویندوزی مانند whoami.exe و net.exe را به دست آورد تا از طریق آن‌ها اطلاعات سیستم را جمع آوری کند. این اطلاعات به عنوان فرمت XML ذخیره می‌شوند و سپس رمزگذاری شده و به سرور کنترل منتقل می‌شوند.»

همچنین تروجان Dridex را وارد سیستم می‌کند که به منظور سرقت اطلاعات شخصی و بانکی کاربران از طریق تزریق خود به مرورگرهایی نظیر فایرفاکس، کروم و اینترنت اکسپلورر طراحی شده است. این اقدام فعالیت مرورگر را نظارت می‌کند و اطلاعات حساس مربوط به بانک‌های آنلاین هدف که در فایل پیکربندی آن فهرست شده‌اند، سرقت می‌کند.
محققان معتقدند این کمپین به دلیل ارسال ایمیل فیشینگ کلاه‌برداران در سراسر دنیا به سرعت در حال گسترش است. همچنین کمپین‌های مرتبط دیگری احتمالاً توسط همین گروه در حال انجام است که از Dropbox، Quickbooks و MYOB استفاده می‌کنند.
محققان می‌گویند: «مهاجمان از سادگی و سهولت استفاده از زیرساختار ایمیل برای توزیع تروجان های بانکی بین قربانیان سرتاسر دنیا بهره می‌برند. ما چندین کمپین مشابه دیگر را طی این هفته مشاهده کرده‌ایم که مشتریان دیگر شرکت‌های نرم افزار حسابداری آنلاین معروف را مورد هدف قرار می‌دهند. چنین حملاتی به عنوان یک گرایش جدید در میان مهاجمان رواج پیدا کرده که از اعتماد مردم به برندهای خاص سوءاستفاده می‌کند.»
مشتریان به عنوان یک اقدام پیشگیرانه باید از باز کردن هرگونه ایمیل مشکوک و مخصوصاً باز کردن هرگونه فایل قابل دانلود ناشناس اجتناب کنند. همچنین کاربران باید از باز کردن آرشیوهای زیپ ارسال شده از منابع ناشناس و اجرای فرمت‌های فایلی ناشناس مانند جاوا اسکریپت خودداری کنند.