هشدار مركز افتا؛ كارزار عجیب مهاجمان سایبری با اهدافی نامعلوم

به گزارش سئو مئو مهاجمان سایبری در كارزاری فیشینگ با ارسال ایمیل های دارای اسنادِ در ظاهر حاوی اطلاعات محرمانه، ابزار معتبر دسترسی از راه دور را روی سیستم اهداف خود نصب می كنند.
به گزارش سئو مئو به نقل از مركز مدیریت راهبردی افتای ریاست جمهوری، قربانیان این كارزار جدید سایبری، ایمیلی را دریافت می كنند كه در آن مهاجمان برای افزایش شانس به دام افتادن كاربر، با ادعایی دروغین و با درج نشان واقعی یكی از محصولات امنیتی، كاربر را به باز كردن فایل پیوست آن تشویق می كنند. اغلب این ایمیل ها در چارچوب پیام های بازپرداخت، نقل و انتقالات برخط و صورتحساب هایی از این قبیل است. مهاجمان در پیوست ایمیل فیشینگ و در فایل ارسالی به این بهانه كه حاوی اطلاعات شخصی است از قربانی می خواهند تا برای وارد كردن رمز درج شده در متن ایمیل و رمزگشایی آن، قابلیت ماكرو را در نرم افزار Word فعال كنند. در مراحل بعدی، ماكرو مبادرت به اجرای فرامینی می كند كه در نتیجه آنها با بكارگیری فرایند معتبر PowerShell یك ابزار دسترسی از راه دور روی سیستم نصب و ماندگار می شود. ابزار نصب شده نسخه ای از NetSupport Manger گزارش شده است. NetSupport Manger یك ابزار معتبر دسترسی از راه دور است كه معمولاً كاركنان بخش فناوری اطلاعات سازمان ها برای اتصال از راه دور به سیستم ها استفاده می نمایند. در حالیكه مهاجمان با اجرای NetSupport Manger اهداف مخربی را دنبال می كنند اما با عنایت به معتبر بودن این ابزار، محصولات امنیتی و ضدویروس نسبت به آن بعنوان یك بدافزار واكنش نشان نمی دهند. با اینكه احیانا مهاجمان از نسخه ای معروف به كرك بهره برده و از كانال های قانونی آنرا خریداری نكرده اند. پایگاه اینترنتی ZDNet نوشته است: هنوز معلوم نیست كه انگیزه اصلی مهاجمان از اجرای این كارزار چیست، امكان دارد كه این افراد قصد سرقت فوری اطلاعات را داشته باشند یا در برنامه ای دراز مدت برای رصد ایمیل های ورودی و خروجی روی سیستم آلوده و شناسایی مخاطبان قربانیان را داشته باشند تا بر مبنای اطلاعات استخراج شده، حملات هدفمند فیشینگی را برای هك حساب های كاربری قربانیان انجام دهند. كارشناسان معاونت بررسی مركز افتا می گویند: از آنجائیكه موفقیت این كارزار به استفاده از بخش ماكرو در مجموعه نرم افزاری Office بستگی دارد، سفارش می شود كه این توانایی در حالت دائماً غیر فعال قرار داده شود. مركز افتا همینطور از كاربران خواسته است تا در باز كردن ایمیل های ارسالی از جانب فرستندگان ناآشنا به خصوص در زمانی كه در آنها از موارد اضطراری صحبت می شود، بسیار محتاطانه عمل كنند.