کارزار عجیب مهاجمان سایبری با اهدافی نامعلوم
به گزارش مجله بای بلاگ، به گزارش خبرنگاران به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، قربانیان این کارزار جدید سایبری، ایمیلی را دریافت می کنند که در آن مهاجمان برای افزایش شانس به دام افتادن کاربر، با ادعایی دروغین و با درج نشان واقعی یکی از محصولات امنیتی، کاربر را به باز کردن فایل پیوست آن تشویق می کنند.
بیشتر این ایمیل ها در قالب پیام های بازپرداخت، جابجایی برخط و صورتحساب هایی از این قبیل است.
مهاجمان در پیوست ایمیل فیشینگ و در فایل ارسالی به این بهانه که حاوی اطلاعات شخصی است از قربانی می خواهند تا برای وارد کردن رمز درج شده در متن ایمیل و رمزگشایی آن، قابلیت ماکرو را در نرم افزار Word فعال کنند.
در مراحل بعدی، ماکرو اقدام به اجرای فرامینی می کند که در نتیجه آنها با بکارگیری پروسه معتبر PowerShell یک ابزار دسترسی از راه دور روی سیستم نصب و ماندگار می شود. ابزار نصب شده نسخه ای از NetSupport Manger گزارش شده است.
NetSupport Manger یک ابزار معتبر دسترسی از راه دور است که معمولاً کارکنان بخش فناوری اطلاعات سازمان ها برای اتصال از راه دور به سیستم ها استفاده می کنند.
در حالی که مهاجمان با اجرای NetSupport Manger اهداف مخربی را دنبال می کنند اما با توجه به معتبر بودن این ابزار، محصولات امنیتی و ضدویروس نسبت به آن به عنوان یک بدافزار واکنش نشان نمی دهند. اگر چه احتمالا مهاجمان از نسخه ای موسوم به کرک استفاده کرده و از کانال های قانونی آن را خریداری نکرده اند.
پایگاه اینترنتی ZDNet نوشته است: هنوز معین نیست که انگیزه اصلی مهاجمان از اجرای این کارزار چیست، ممکن است که این افراد قصد سرقت فوری اطلاعات را داشته باشند یا در برنامه ای دراز مدت برای رصد ایمیل های ورودی و خروجی روی سیستم آلوده و شناسایی مخاطبان قربانیان را داشته باشند تا بر اساس اطلاعات استخراج شده، حملات هدفمند فیشینگی را برای هک حساب های کاربری قربانیان انجام دهند.
کارشناسان معاونت بررسی مرکز افتا می گویند: از آنجا که موفقیت این کارزار به استفاده از بخش ماکرو در مجموعه نرم افزاری Office بستگی دارد، توصیه می شود که این قابلیت در حالت دائماً غیر فعال قرار داده شود.
مرکز افتا همچنین از کاربران خواسته است تا در باز کردن ایمیل های ارسالی از سوی فرستندگان ناآشنا به خصوص در زمانی که در آنها از موارد اضطراری صحبت می شود، بسیار محتاطانه عمل کنند.
منبع: خبرگزاری مهرmahsanblog.ir: مهسان بلاگ | سیستم مدیریت محتوای مهسان
1com.ir: مجله کامپیوتر | مجله کاربردی فناوری در صنعت گردشگری
heevblog.ir: هیو بلاگ | سیستم مدیریت محتوای هیو بلاگ
dabiblog.ir: دَبی بلاگ، سیستم مدیریت محتوای دَبی
persinablog.ir: پرسینا بلاگ، سیستم مدیریت محتوا پرسینا