پژوهشگران TrendMicro اخیرا عملیات اسپم مخربی را شناسایی کردهاند که حاوی AutoIT کامپایل شده با تروجانهای Negasteal یا Agent Tesla و Ave Maria یا Warzone است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، ترندمیکرو میگوید تروجانهای Ave Maria و Negasteal با ایمیلهای مخرب منتشر میشوند. تروجانهای استفاده شده در این عملیات از یک تروجان جاسوسی معمولی به بدافزارهای RAT خطرناک ارتقا یافتهاند که این امر نشاندهنده این است که مجرمان سایبری در حال حرکت به سمت انتقال payloadهای مخربتر و سودآورتر مانند باجافزارها هستند.
در این عملیات از فایلهای ISO مبهمسازی شده با AutoIT و همچنین پیوستهای RAR و LZH استفاده شدهاست تا از شناسایی بدافزار جلوگیری شود. فایلهای ISO میتوانند برای دور زدن فیلترهای اسپم بهکار گرفتهشوند. از طرفی این فایلها در نسخههای جدیدتر ویندوز بهراحتی اجرا میشوند.
در عملیات شناساییشده، بدافزار از طریق ایمیلهای اسپمی مخرب با محتوای اسناد مالی جعلی یا اسناد جعلی مربوط به شرکتهای حملونقل ارسال شدهاست.
اسناد مخرب پس از دانلود، بدافزارهای Negasteal و Ave Maria مبهمسازی شده توسط AutoIT را استخراج میکنند. این تروجانها دارای قابلیتهای ثبت صفحه کلید (keylogging)، تهیه اسکرینشات و ثبت تصاویر وبکم و همچنین دریافت اطلاعات ذخیرهشده در کلیپبورد و مرورگرها هستند.
نسخه RAT استفاده شده در این عملیات دارای قابلیتهای بیشتری نسبت به یک جاسوسافزار است. این بدافزار میتواند کنترلهای UAC را دور بزند و سطح دسترسی خود را افزایش دهد.
در صورت اجرای موفق بدافزار در سیستم آلوده، اطلاعات مورد هدف مانند نامکاربری و گذرواژهها از طریق پروتکلهای HTTP ،IMAP ،POP3 و SMTP سرقت میشوند.
برنامههای مورد هدف نیز موارد Microsoft Outlook ،Windows Messaging ،Internet Explorer ،Google Chrome ،Foxmail ،Thunderbird و Firefox هستند. علاوهبر این، Ave Maria میتواند فایل دلخواه را در سیستم هدف ایجاد و ویرایش کند؛ لیست پوشهها، فایلها و فرایندهای پردازشی را دریافت کند و فرایندهای پردازشی را در حال اجرا متوقف کند.