براساس یک مطالعه انجام شده توسط محققان امنیتی در بخش Palo Alto Networks، Unit 42، هکرها ایمیلهای ایالات متحده و اروپا را با یک تروجان جدید مورد حملهی فیشینگ قرار دادند. این بدافزار با نام Cannon از اکتبر تا کنون، به جمع آوری تصاویر و دیگر اطلاعات از رایانههای شخصی قربانیان بیاطلاع نموده و آنها را به روسیه منتقل کرده است.
با استفاده از تاکتیکهای مهندسی اجتماعی کلاسیک، “Cannon” ایمیلهای فیشینگ را ارسال میکند که شامل فریب قربانیان برای باز کردن پیامهایی در مورد رویدادهای اخیر مانند سقوط یک هواپیمای مسافربری در اندونزی میشود. ایمیلها همچنین شامل یک پیوست با فرمت Microsoft Word هستند که نیاز به ویژگی ماکرو برای برای باز کردن با موفقیت فایل دارد. هنگامیکه قربانی فایل را باز کرده و ماکروها را فعال میکند، یک کد پس از آن اجرا میشود و یک تروجان مخرب گسترش مییابد و هر زمان که Word بسته میشود، کامپیوتر را آلوده میکند.
واحد تحقیقاتی Unit 42 توضیح داد:
هنگامیکه تروجان مخرب در حال اجرا است، تصاویری از دسکتاپ کامپیوتر را با فواصل ۱۰ ثانیه و اطلاعات سیستم در هر ۳۰۰ ثانیه جمع آوری میکند و بعد پس از وارد شدن به یک حساب ایمیل اولیه POP3 و یک حساب ایمیل ثانویه POP3، تلاش میکند تا مسیر بارگیری را برای اطلاعات دانلود شده دریافت کند. سرانجام، تمام پیوستها را به یک مسیر خاص منتقل میشود و یک فرایند را ایجاد میکند که ایمیل را به هکر با تمام پیوستها ارسال میکند.
در اواخر اکتبر و اوایل نوامبر ۲۰۱۸ Unit 42 یک سری اسناد تسلیحاتی را بدست آورد که از یک روش برای بارگیری قالبهای از راه دور حاوی یک ماکرو مخرب استفاده میکرد. این نوع اسناد تسلیحاتی غیر معمول نیستند اما به دلیل ماهیت ماژولار آنها، سیستمهای تجزیه و تحلیل خودکار آنها را به عنوان مشکل نشناخته است. یکی از مشخصه این تکنیک این است که اگر سرور C2 در زمان اجرای برنامه در دسترس نباشد، کد مخرب را نمیتوان بازیابی کرد و سند تحویل داده شده به طور عمده بیخطر است.
به نظر میرسد Cannon به Sofacy مرتبط است. یک گروه هکر که قبلا “Zebrocy” و دیگر نرم افزارهای مخرب مشابه را با کمک دولت روسیه توزیع کرده است . برای محافظت در برابر این نوع حملات فیشینگ، همیشه بهتر است از باز کردن ایمیلها با آدرسهای ایمیل مشکوک خودداری کنید. حتی اگر مایکروسافت اقداماتی را برای جلوگیری از ماکروهای مخرب انجام دهد، بهتر است که از این ویژگی استفاده نکنید و به طور کلی از آن اجتناب نمایید. شما همچنین باید آنتی ویروس خود را به روز نگهدارید و مطمئن شوید که در حال اجرای آخرین نسخه از ویندوز ۱۰ هستید.
شما از چه راههایی برای حفظ امنیت فضای اینترنتی خود استفاده میکنید؟ لطفا تجربیات خود را با تکفارس درمیان بگذارید.
نظرات