مهاجمان در پویش فیشینگ Xero از سادگی ارائهشده توسط زیرساخت ایمیل برای توزیع بدافزار Dridex به سمت قربانیان سراسر جهان استفاده میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک پویش فیشینگ پیشرفته با ارسال ایمیلهای جعلی از طرف شرکت Xero قربانیان را هدف قرار میدهد. اگر قربانیان فریب بخورند با یک تروجان بانکی به نام Dridex و فعالیتهایی برای سرقت اطلاعات سروکار خواهند داشت. Xero یک شرکت نرمافزاری مستقر در نیوزیلند است که نرمافزار حسابداری مبتنی بر ابر را برای کسبوکارهای کوچک و متوسط توسعه میدهد. به گفته فهیم عباسی و ردل مندرز، محققان Trustwave، پیامهای جعلی به خوبی ساخته میشوند و مانند پیامهای صورت حساب حرفهای هستند که به کاربران توصیه میکنند فاکتور قبض خود را به صورت برخط و با کلیک بر روی پیوند فاکتور مشاهده کنند.
پیوند فاکتوری که در متن ایمیل است به یک URL که در یک دامنه جعلی Xero قرار دارد، اشاره میکند، درحالیکه URLهای دیگر موجود در متن ایمیل به وبسایت قانونی Xero.com اشاره میکنند. پیوند مخرب منجر به بارگیری یک بایگانی فشرده میشود که شامل یک پرونده جاوا اسکریپت مخرب است. در زمان اجرا، این جاوا اسکریپت یک بدافزار را بارگیری کرده و راهاندازی میکند.
محققان در یک تحلیل توضیح دادند: «این یک نمونه بدافزار پیچیده است که چندین وظیفه را انجام میدهد. ابتدا اطلاعات مربوط به سامانه، برنامههای نصب شده و کاربران را جمعآوری میکند. این فرايند توسط تعدادی از تنظیمات مختلف سامانه دنبال میشود و بهواسطه ثبتنام تنظیمات مربوط به مرورگر اکسپلورر تغییر میکند. این بدافزار همچنین تلاش میکند تا بعضی از فرایندهای ویندوز مانند cheatsemy.exe و net.exe را به دام بیندازد که با استفاده از آنها اطلاعات سامانه را جمعآوری میکند. این اطلاعات با قالب XML ذخیره و پس از آن رمزنگاری شده و به کارگزار دستور و کنترل فرستاده میشود.»
البته کد جاوا اسکریپت، بدافزار Dridex را که به منظور سرقت اطلاعات بانکی و شخصی طراحی شده در سامانه قربانی رها میکند و این بدافزار با تزریق خود در مرورگرهای فایرفاکس و کروم و اینترنت اکسپلورر کارهایش را انجام میدهد. این بدافزار به فعالیت مرورگر نظارت میکند و از بانکهای برخط هدف که در پوشه پیکربندی آن فهرست شدهاند، اطلاعات حساس را سرقت میکند. محققان گفتند که این پویش به طور وسیعی در حال گسترش است به طوریکه کلاهبرداران ایمیلهای فیشینگ را در سراسر جهان ارسال میکنند. پویشهای مرتبطی نیز وجود دارد که احتمالا توسط همان گروه اتفاق انجام میشود و با استفاده از دراپباکس، کوییکبوک و MYOB کاربران را فریب میدهند.
محققان میگویند: «مهاجمان از سادگی ارائه شده توسط زیرساخت ایمیل برای توزیع تروجانهای بانکی به سمت قربانیان سراسر جهان، استفاده میکنند. ما همچنین در طول هفته، چندین پویش مشابه را مشاهده کردیم که مشتریان دیگر شرکتهای نرمافزاری حسابداری برخط شناخته شده را مورد هدف قرار داده بودند. چنین حملاتی به عنوان یک رویداد جدید در حوزه نفوذ مشاهده میشود که مهاجمان از اعتماد مردم به نشانهای خاص سوءاستفاده می کنند.»
به عنوان یک معیار کاهش، مشتریان باید از باز کردن هر پیام ایمیل مشکوک و به خصوص از باز کردن هرگونه پوشه قابل بارگیری ناشناخته، اجتناب کنند. مشتریان همچنین باید از باز کردن بایگانیهای فشرده که از منابع ناشناخته دریافت شدهاند، خودداری کنند و از اجرای پوشههای با قالب ناشناخته مانند جاوا اسکریپت بپرهیزند.