هشدارهای افتایی
مهاجمان در کارزاری سایبری با استفاده از نسخه جدیدی از یک جاسوس‌افزار قدیمی اقدام به سرقت اطلاعات از صدها شرکت کرده‌اند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، این بدافزار با نام Separ داده‌های ثبت ورود (Login) را از مرورگرها و نرم‌افزارهای مدیریت‌کننده ایمیل استخراج کرده و به همراه مستندات و تصاویر با پسوندهای خاص به مهاجمان ارسال می‌کند.
مهاجمان این کارزار از ایمیل‌های فیشینگ هدفمند (Spear-phishing) که کدهایی مخرب در قالب فایل PDF به آن‌ها پیوست شده به‌منظور رخنه به سیستم‌ها و آلوده‌سازی آن‌ها به بدافزار بهره می‌گیرند.
کارزار مذکور موجب آلودگی حداقل 200 دستگاه در حدود 10 کشور شده است. تقریباً 60 درصد از این قربانیان شرکت‌هایی در کره جنوبی هستند که در حوزه مهندسی، ساخت‌وساز، فولاد، مواد شیمیایی و ساخت لوله و شیرآلات فعالیت دارند. از جمله آن‌ها یک شرکت سازنده تجهیزات زیرساخت حیاتی است که پیمانکار کارخانجات شیمیایی، ارائه‌دهندگان تجهیزات توزیع و انتقال برق و شرکت‌های فعال در حوزه انرژی‌های تجدیدپذیر است.
تایلند و چین به‌ترتیب با 12.9 و 5.9 درصد در جایگاه‌های دوم و سوم کشورهای آلوده به کارزار مذکور قرار دارند. ژاپن، اندونزی، ترکیه، اکوادور، آلمان و انگلیس دیگر قربانیان این حملات هستند.
ایمیل‌های فیشینگ ارسالی از سوی این مهاجمان به نحوی کاملاً خاص و حرفه‌ای، ویژه هر هدف طراحی شده است. در یکی از آن‌ها این طور وانمود شده که ارسال‌کننده کارمند یکی از شرکت‌های تابعه زیمنس است و درخواست پیشنهاد قیمت برای طراحی نیروگاهی در جمهوری چک را دارد. در پیوست پیام ارسالی، نمودار و مقاله‌ای فنی (که البته به‌صورت عمومی در اینترنت نیز قابل دسترس است) در خصوص نحوه راه‌اندازی یک پالایشگاه تولید بنزین به چشم می‌خورد.
 

یا در یک درخواست پیشنهاد قیمت جعلی دیگر، مهاجم به ساخت یک نیروگاه ذغال سنگ در اندونزی اشاره کرده و تظاهر می‌کند که از بخش مهندسی یک شرکت صاحب‌نام خوشه‌ای در ژاپن ایمیل ارسال شده است.

 

همانطور که اشاره شد بدافزار بکار گرفته شده در این کارزار جاسوس‌افزاری با نام Separ است که اولین نسخه از آن در سال 2013 شناسایی شد. در اوایل سال میلادی جاری نیز نسخه‌ای جدید از این بدافزار مورد استفاده گروهی از مهاجمان قرار گرفته بود. با این حال، نسخه بکار رفته در جریان این کارزار نسخه‌ای تکامل یافته از Separ است.
این بدافزار از قابلیت Autorun برای ماندگار کردن خود بعد از راه‌اندازی سیستم استفاده کرده و از ابزارهایی که بسیاری از آن‌ها به‌صورت عمومی قابل دسترسند از جمله موارد زیر بهره برده است:
•    Browser Password Dump v6.0 by SecurityXploded
•    Email Password Dump v3.0 by SecurityXploded
•    NcFTPPut 3.2.5 – Free FTP client
•    The LaZagne Project (password dumper)
•    deltree (folder delete)
•    Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
•    MOVEit Freely 1.0.0.1 – Secure FTP Client
•    Sleep tool by tricerat
پس از نصب، بدافزار اطلاعات احرازهویت مرورگرها و نرم‌افزارهای مدیریت‌کننده ایمیل را سرقت کرده و اقدام به جستجو و شناسایی اسناد بالقوه بااهیمت برای مهاجمان بر اساس پسوند آن‌ها می‌کند.
تمامی داده‌های جمع‌آوری شده با استفاده از پودمان FTP به یک سرویس‌دهنده رایگان میزبانی وب به نشانی freehostia[.]com ارسال می‌شود.
 
محققان، ادامه ارسال اطلاعات احرازهویت سرقت شده به نشانی مذکور را نشانه‌ای از تداوم فعال بودن این کارزار می‌دانند.

منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.