پژوهشگران TrendMicro اخیرا عملیات اسپم مخربی را شناسایی کرده‌اند که حاوی AutoIT کامپایل شده با تروجان‌های Negasteal یا Agent Tesla و Ave Maria یا Warzone است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، ترندمیکرو می‌گوید تروجان‌های Ave Maria و Negasteal با ایمیل‌های مخرب منتشر می‌شوند. تروجان‌های استفاده شده در این عملیات از یک تروجان جاسوسی معمولی به بدافزارهای RAT خطرناک ارتقا یافته‌اند که این امر نشان‌دهنده این است که مجرمان سایبری در حال حرکت به سمت انتقال payloadهای مخرب‌تر و سودآورتر مانند باج‌افزارها هستند.

در این عملیات از فایل‌های ISO مبهم‌سازی شده با AutoIT و همچنین پیوست‌های RAR و LZH استفاده شده‌است تا از شناسایی بدافزار جلوگیری شود. فایل‌های ISO می‌توانند برای دور زدن فیلترهای اسپم به‌کار گرفته‌شوند. از طرفی این فایل‌ها در نسخه‌های جدیدتر ویندوز به‌راحتی اجرا می‌شوند.

در عملیات شناسایی‌شده، بدافزار از طریق ایمیل‌های اسپمی مخرب با محتوای اسناد مالی جعلی یا اسناد جعلی مربوط به شرکت‌های حمل‌ونقل ارسال شده‌است.

اسناد مخرب پس از دانلود، بدافزارهای Negasteal و Ave Maria مبهم‌سازی شده توسط AutoIT را استخراج می‌کنند. این تروجان‌ها دارای قابلیت‌های ثبت صفحه کلید (keylogging)، تهیه اسکرین‌شات و ثبت تصاویر وب‌کم و همچنین دریافت اطلاعات ذخیره‌شده در کلیپ‌بورد و مرورگرها هستند.

نسخه RAT استفاده شده در این عملیات دارای قابلیت‌های بیشتری نسبت به یک جاسوس‌افزار است. این بدافزار می‌تواند کنترل‌های UAC را دور بزند و سطح دسترسی خود را افزایش دهد.

در صورت اجرای موفق بدافزار در سیستم آلوده، اطلاعات مورد هدف مانند نام‌کاربری و گذرواژه‌ها از طریق پروتکل‌های HTTP ،IMAP ،POP3 و SMTP سرقت می‌شوند.

برنامه‌های مورد هدف نیز موارد Microsoft Outlook ،Windows Messaging ،Internet Explorer ،Google Chrome ،Foxmail ،Thunderbird و Firefox هستند. علاوه‌بر این، Ave Maria می‌تواند فایل دلخواه را در سیستم هدف ایجاد و ویرایش کند؛ لیست پوشه‌ها، فایل‌ها و فرایندهای پردازشی را دریافت کند و فرایندهای پردازشی را در حال اجرا متوقف کند.