مهاجمان در پویش فیشینگ Xero از سادگی ارائه‌شده توسط زیرساخت ایمیل برای توزیع بدافزار Dridex به سمت قربانیان سراسر جهان استفاده می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک پویش فیشینگ پیشرفته‌ با ارسال ایمیل‌های جعلی از طرف شرکت Xero قربانیان را هدف قرار می‌دهد. اگر قربانیان فریب بخورند با یک تروجان بانکی به نام Dridex و فعالیت‌هایی برای سرقت اطلاعات سروکار خواهند داشت. Xero یک شرکت نرم‌افزاری مستقر در نیوزیلند است که نرم‌افزار حسابداری مبتنی‌ بر ابر را برای کسب‌و‌کارهای کوچک و متوسط توسعه می‌دهد. به گفته  فهیم عباسی و ردل مندرز، محققان Trustwave، پیام‌های جعلی به خوبی ساخته می‌شوند و مانند پیام‌های صورت حساب حرفه‌ای هستند که به کاربران توصیه می‌کنند فاکتور قبض خود را به صورت برخط و با کلیک بر روی پیوند فاکتور مشاهده کنند.

پیوند فاکتوری که در متن ایمیل است به یک URL که در یک دامنه جعلی Xero قرار دارد، اشاره می‌کند، درحالی‌که URLهای دیگر موجود در متن ایمیل به وب‌سایت قانونی Xero.com اشاره می‌کنند. پیوند مخرب منجر به بارگیری یک بایگانی فشرده می‌شود که شامل یک پرونده جاوا اسکریپت مخرب است. در زمان اجرا، این جاوا اسکریپت یک بدافزار را بارگیری کرده و راه‌اندازی می‌کند.

محققان در یک تحلیل توضیح دادند: «این یک نمونه بدافزار پیچیده است که چندین وظیفه را انجام می‌دهد. ابتدا اطلاعات مربوط به سامانه، برنامه‌های نصب شده و کاربران را جمع‌آوری می‌کند. این فرايند توسط تعدادی از تنظیمات مختلف سامانه دنبال می‌شود و به‌واسطه ثبت‌نام تنظیمات مربوط به مرورگر اکسپلورر تغییر می‌کند. این بدافزار همچنین تلاش می‌کند تا بعضی از فرایندهای ویندوز مانند cheatsemy.exe و net.exe را به دام بیندازد که با استفاده از آنها اطلاعات سامانه را جمع‌آوری می‌کند. این اطلاعات با قالب XML ذخیره و پس از آن رمزنگاری شده و به کارگزار دستور و کنترل فرستاده می‌شود.»

البته کد جاوا اسکریپت، بدافزار Dridex را که به منظور سرقت اطلاعات بانکی و شخصی طراحی شده در سامانه قربانی رها می‌کند و این بدافزار با تزریق خود در مرورگرهای فایرفاکس و کروم و اینترنت اکسپلورر کارهایش را انجام می‌دهد. این بدافزار به فعالیت مرورگر نظارت می‌کند و از بانک‌های برخط هدف که در پوشه پیکربندی آن فهرست شده‌اند، اطلاعات حساس را سرقت می‌کند. محققان گفتند که این پویش به طور وسیعی در حال گسترش است به طوری‌که کلاهبرداران ایمیل‌های فیشینگ را در سراسر جهان ارسال می‎کنند. پویش‌های مرتبطی نیز وجود دارد که احتمالا توسط همان گروه اتفاق انجام می‌شود و با استفاده از دراپ‌باکس، کوییک‌بوک و MYOB کاربران را فریب می‌دهند.

محققان می‌گویند: «مهاجمان از سادگی ارائه شده توسط زیرساخت ایمیل برای توزیع تروجان‌های بانکی به سمت قربانیان سراسر جهان، استفاده می‌کنند. ما همچنین در طول هفته، چندین پویش مشابه را مشاهده کردیم که مشتریان دیگر شرکت‌های نرم‎‌افزاری حسابداری برخط شناخته شده را مورد هدف قرار داده بودند. چنین حملاتی به عنوان یک رویداد جدید در حوزه نفوذ مشاهده می‌شود که مهاجمان از اعتماد مردم به نشان‌‍‌های خاص سوء‌استفاده می کنند.»

به عنوان یک معیار کاهش، مشتریان باید از باز کردن هر پیام ایمیل مشکوک و به خصوص از باز کردن هرگونه پوشه قابل بارگیری ناشناخته، اجتناب کنند. مشتریان همچنین باید از باز کردن بایگانی‌های فشرده که از منابع ناشناخته دریافت شده‌اند، خودداری کنند و از اجرای پوشه‌های با قالب ناشناخته مانند جاوا اسکریپت بپرهیزند.