هم رسان: یک کمپین فیشینگ پیشرفته و پیچیده در حال انتشار در سرتاسر دنیا است که با ارسال ایمیلهای جعلی از طرف Xero قربانیان خود را مورد هدف قرار داده است.
به گزارش پایگاه خبری هم رسان به نقل از اینفوسکیریتی، اگر قربانیان گول این ایمیل را بخورند، درگیر یک تروجان بانکی به نام Dridex و اقدامات سرقت اطلاعات خواهند شد.
Xero یک شرکت نرم افزاری واقع در نیوزیلند است که نرم افزار حسابداری مبتنی بر ابر را برای کسب و کارهای کوچک و متوسط توسعه میدهد. به گفته «فهیم عباسی» و «ردل مندرز» محققان Trustwave، پیامهای جعلی با مهارت تمام آماده شدهاند و شبیه به پیامهای حاوی صورتحسابهای به صورت حرفهای طراحی شدهای هستند که به کاربران پیشنهاد میکنند فاکتور صورتحساب خود را با کلیک بر روی لینک فاکتور به صورت آنلاین مشاهده کنند.
لینک فاکتور در متن ایمیل به یک URL میزبانی شده در دامین جعلی Xero اشاره میکند، در حالی که URL های دیگر به سایت مجاز Xero.com اشاره دارند. لینک مخرب منجر به دانلود یک Zip میشود که حاوی یک فایل جاوا اسکریپتی مخرب است. این فایل جاوا اسکریپت در هنگام اجرا بدافزار را دانلود و راه اندازی میکند.
محققان در یک تجزیه و تحلیل توضیح دادند: «این یک نمونه بدافزار پیچیده است که چندین وظیفه را انجام میدهد. ابتدا اطلاعات مربوط به سیستم، برنامههای نصب شده و کاربران را جمع آوری میکند. سپس با تنظیم سیاست در سیستم و ایجاد تغییراتی در پیکربندی اینترنت اکسپلورر از طریق رجیستری کار خود را ادامه میدهد. این بدافزار همچنین تلاش میکند پردازشهای بی خطر ویندوزی مانند whoami.exe و net.exe را به دست آورد تا از طریق آنها اطلاعات سیستم را جمع آوری کند. این اطلاعات به عنوان فرمت XML ذخیره میشوند و سپس رمزگذاری شده و به سرور کنترل منتقل میشوند.»
همچنین تروجان Dridex را وارد سیستم میکند که به منظور سرقت اطلاعات شخصی و بانکی کاربران از طریق تزریق خود به مرورگرهایی نظیر فایرفاکس، کروم و اینترنت اکسپلورر طراحی شده است. این اقدام فعالیت مرورگر را نظارت میکند و اطلاعات حساس مربوط به بانکهای آنلاین هدف که در فایل پیکربندی آن فهرست شدهاند، سرقت میکند.
محققان معتقدند این کمپین به دلیل ارسال ایمیل فیشینگ کلاهبرداران در سراسر دنیا به سرعت در حال گسترش است. همچنین کمپینهای مرتبط دیگری احتمالاً توسط همین گروه در حال انجام است که از Dropbox، Quickbooks و MYOB استفاده میکنند.
محققان میگویند: «مهاجمان از سادگی و سهولت استفاده از زیرساختار ایمیل برای توزیع تروجان های بانکی بین قربانیان سرتاسر دنیا بهره میبرند. ما چندین کمپین مشابه دیگر را طی این هفته مشاهده کردهایم که مشتریان دیگر شرکتهای نرم افزار حسابداری آنلاین معروف را مورد هدف قرار میدهند. چنین حملاتی به عنوان یک گرایش جدید در میان مهاجمان رواج پیدا کرده که از اعتماد مردم به برندهای خاص سوءاستفاده میکند.»
مشتریان به عنوان یک اقدام پیشگیرانه باید از باز کردن هرگونه ایمیل مشکوک و مخصوصاً باز کردن هرگونه فایل قابل دانلود ناشناس اجتناب کنند. همچنین کاربران باید از باز کردن آرشیوهای زیپ ارسال شده از منابع ناشناس و اجرای فرمتهای فایلی ناشناس مانند جاوا اسکریپت خودداری کنند.
دیجیاتو آپارات...
ما را در سایت دیجیاتو آپارات دنبال می کنید
برچسب : کمپین,فیشینگ,جعلی,بدافزار,سرتاسر,دنیا,منتشر, نویسنده : عباس قلی بزرگی بازدید : 254 تاريخ : جمعه 24 شهريور 1396 ساعت: 1:47