شرکت آمریکایی FireEye کمپینی را شناسایی کرده که از طریق فایلهای مخرب اکسل تلاش در دستیابی به اطلاعات بانکهای خاورمیانه دارد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به نقل از softpedia شرکت FireEye آمریکا کمپینی را شناسایی کرده که بانکهای خاورمیانه را هدف قرار میدهد. هرچند تاکنون هیچ حمله یا نقض جدی دادهای که توسط این گروه صورت گرفته باشد گزارش نشده است.
براساس گفته کارشناسان بدافزاری این شرکت، این گروه ناشناخته ایمیلهای هدفمند و مرتبط با فیشینگ را به کارمندان این بانکها میفرستد. این ایمیلها در ارتباط با موضوعات فنی مانند گزارشهای وضعیت و جزئیات تجهیزات Cisco ساخته شدند و کارمندان آیتی بانک را احتمالا به منظور دستیابی به اطلاعات درباره زیرساختهای سرور بانک و شبکه داخلی هدف میگیرند.
در این پروسه تخریبی، فایلهای مخرب اکسل یک رباینده info و یک تخلیهکننده رمز عبور، را آزاد میکنند.
به این ایمیلها یک فایل اکسل ضمیمه است و وقتی این فایل دانلود و باز میشود، از کاربر میخواهد که پشتیبان Macro محتویات آن را ببیند. از آنجایی که Macro برای دانلود و نصب بدافزار از طریق اسکریپتهای خودکار استفاده میشد، بیش از یک دهه است که مایکروسافت پشتیبان Macro را به دلیل نقص در تمامی برنامههای آفیس از کار انداخته و حال اگر کاربر پشتیبان Macro را فعال کند، کلاهبرداران توجه خاصی به نمایش اطلاعات در فایل اکسل نشان میدهند. این فرآیند برای این انجام میشد که از بروز هر گونه نشانه هشداری جلوگیری شود. بیشتر هکرهایی که از متدهای توزیع مبتنی بر Macro برای بدافزارهای خود استفاده میکنند معمولا نگران نمایش محتوایی که به قربانیان در مورد ایراد موجود در باز کردن فایلها هشدار دهد، نیستند.
Macro همچنین علاوه بر نمایش برخی دادهها، یک VBScript را در پسزمینه به جریان میاندازد. این دانلود اسکریپت سه فایل دیگر را دانلود میکند: یک فایل BAT که هر سه دقیقه یک بار به کمک یک جدول برنامهریزی فعال میشود، یک فایل Mimikatz و یک اسکریپت PowerShell.
Mimikatz یک اپلیکیشن تخلیهکننده رمز عبور است که به حافظه ویندوز و به پسوردهای مشخص در متون clear آسیب میرساند.
BAT script اطلاعاتی در مورد کامپیوترهای آلوده جمعآوری میکند؛ اطلاعاتی که این فایل میرباید شامل مواردی مانند این است که کاربر اخیرا در چه زمانی داخل فضای کاربری خود بوده، نام میزبان سایت چیست، اطلاعات مربوط به پیکره شبکه، حسابهای کاربر و حسابهای گروه، حسابهای مدیر محلی و مدیر دامنه، پردازشهای فعال و ... .
هکرها اطلاعات را از طریق درخواستهای DNS میربایند
یک بار که دو فایل Mimikatz و BAT اطلاعات را جمعآوری کنند، اسکریپت PowerShell اطلاعات ربوده شده را به یک سرور از راه دور میفرستد که در قالب درخواستهای DNS شکل گرفته است. کلاهبرداران به این دلیل از DNS استفاده میکنند که این پروتکل تقریبا در لیست تمامی شبکههای اقتصادی وجود دارد و نیز ندرتا تحت نظارت قرار میگیرد.
گروه FireEye در این باره میگوید: «اگرچه این حمله قدرت zero-days یا تکنیکهای پیشرفته دیگر را ندارد، اما ملاحظه اینکه حملهکنندگان چگونه از اجزای مختلف برای اجرای فعالیتهای شناسایی با یک هدف خاص استفاده میکردند، جالب توجه بود. این حمله همچنین نشان میدهد بدافزار Macro همچنان تاثیرگذار است.»
در چند ماه گذشته، بانکهای خاورمیانه از سوی هکرهای ترکیهای نیز تحت فشار بودند. همچنین گزارشهایی درباره دورریز دادهها در بانک ملی قطر و Invest Bank در امارات متحده نیز منتشر شده بود.
این گروه در پس حملههایی به بانکهای بنگلادش، نپال و سریلانکا قرار دارد که در همه آنها اقدام به دورریز دادهها کرده است.