هشدارهای افتایی
مایکروسافت از اجرای کارزار فیشینگی توسط گروه TA505 خبر داده که در جریان آن فایل Excel مخرب از طریق ایمیل‌های با پیوست‌ فایل‌های موسوم به HTML Redirector به دستگاه قربانی راه پیدا می‌کند. به گفته مایکروسافت این اولین بار است که گروه TA505 به تکنیک HTML Redirector روی آورده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، در این کارزار جدید که بخش Security Intelligence مایکروسافت به آن پرداخته کد بدافزار با استفاده از ماکروی درون فایل Excel آلوده بر روی دستگاه دریافت می‌شود.
TA505 که با عنوان SectorJ04 نیز شناخته می‌شود گروهی متشکل از هکرها با انگیزه‌های مالی است که حداقل از سه‌ماهه سوم سال 2014 فعال بوده است. معروفیت این گروه به سبب اجرای حملات بر ضد شرکت‌های خرده‌فروشی و مؤسسات مالی از طریق کارزارهای هرزنامه‌ای در بستر Necurs Botnet است. این مهاجمان توزیع اسب‌های تروای دسترسی از راه دور (Remote Access Trojan) و دریافت‌کنندگان بدافزار (Downloader) از جمله بدافزارهای Dridex و Trick و باج‌افزارهایی همچون Locky، BitPaymer، Philadelphia، GlobeImposter و Jaff را در کارنامه دارند.
به گفته محققان بکارگیری تکنیک استفاده از پیوست‌های HTML توسط TA505 از اواسط ژانویه سال میلادی جاری آغاز و در این کارزار جدید از تغییر دهنده مسیر HTML در پیوست ایمیل‌های ارسالی استفاده شده است. با باز شدن، کد HTML منجر به دریافت خودکار یک فایل Excel حاوی ماکروی مخرب می‌شود که وظیفه آن دانلود و اجرای کد بدافزار است. این در حالی است که پیش‌تر و در کارزاری موسوم به Dudear، پیوست ایمیل یا لینک‌های درون ایمیل نقش ناقل بدافزار این مهاجمان را ایفا می‌کردند.
در کارزار جدید اینطور به قربانی وانمود می‌شود که برای دسترسی به محتوای فایل Excel فراخوانی شده نیاز است که بر روی دکمه Enable Editing در نوار زرد رنگ کلیک شود. با کلیک بر روی دکمه مذکور، بخش ماکرو (Macro) فعال و بدافزاری که مایکروسافت از آن با عنوان GraceWire یاد کرده است به‌صورت خودکار بر روی دستگاه دریافت و اجرا می‌شود. 
 

گردانندگان این کارزار فیشینگ، فایل‌های HTML مورد استفاده در حملات خود را به زبان‌های مختلف توسعه داده و قربانیان را در کشورهای مختلف هدف قرار می‌دهند.
همچنین مهاجمان نشانی IP دستگاه‌هایی که از روی آنها فایل Excel مخرب دریافت می‌شود را مورد رصد و ردیابی قرار می‌دهند.
نشانه‌های آلودگی (IoC):
هش:
 
•    44ffbe69f8f189de7fa4f794686241ee4c814de90681bfff0a37e344ed12954e
•    63c137ed882560ba03b7333a49b0714990c581f4e8a1b7579b339c74f465aa03
•    6dee4408f563522f7fe5efb9891c409827643039bf7c8cd17c0d80bcc2997ece
•    b81302bc5cbfeddf3b608a60b25f86944eddcef617e733cddf0fc93ee4ccc7ab
•    bf86ccaf5e7f20124a259212a3a78dae12ec2594f48d5256a01323c772abc606
•    d75c0e88f203dce04e7c90a32a17cee25e5d3acbb5add7c33d257b8600281f2b


منابع:
(با سپاس از شرکت مهندسی شبکه گستر در تهیه این گزارش )

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.