پنهان شدن لینک تروجان جاسوس‌افزار در عکس

۱۴۰۰/۵/۱۲امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ وقتی صحبت از سرقت اطلاعات محرمانه می‌شود، پیام‌های ایمیل با لینک‌های فیشینگ اولین چیزی است که به ذهن می‌رسد. با این حال، این پیام‌ها تنها یکی از حربه‌های بدست آوردن نام‌ها و پسوردهای کاربر (برای سرویس‌های آنلاین مختلف) است. اسکمرها هنوز هم مرتباً لینک‌هایی را به جاسوس‌افزارها میل می‌کنند. یکی از ترفندهایی که آن‌ها برای پوشش این لینک‌ها استفاده می‌کنند عکسی است که ظاهراً پیوست می‌باشد. در ادامه با ما همراه شوید تا این ترفند را مورد بررسی قرار دهیم.

ایمیل با لینک آلوده

امروز، قصد داریم نگاهی داشته باشیم بر حمله‌ی ایمیل هدف‌دار. مجرمان سایبری مربوطه ظاهر خود را موجه درست کرده بودند و به ارائه‌دهنده سرویس‌های صنعتی و فروشنده تجهیزات RFQ[1] (به همراه یک سری دستورالعمل) فرستادند. شرکت‌های صنعتی بسیاری از اوقات چنین درخواست‌هایی دریافت می‌کنند و مدیران حسابداری هم معمولاً داکیومنت راهنما را باز کرده، پروپوزالی تهیه کرده و هرگونه مغایرتی را از جمله تفاوت‌های بین نام دامنه و امضای فرستنده را نادیده گرفتند. برای ما جالب این است که چطور مجرمان سایبری فرستندگان را مجاب می‌کردند به اجرای بدافزار. ایمیل چنین ظاهری داشت:

پی‌دی‌اف پیوست‌شده را مشاهده می‌کنید؟ بسیارخوب، آنچه دارید می‌بینید اساساً پیوست نیست. Outlook پیوست‌های ایمیل را اینچنین نمایش می‌دهد اما در ادامه تعدادی تفاوت خواهید دید:

  •         آیکون پیوست باید با اپ مربوط به فایل‌های پی‌دی‌اف سیستم شما همخوانی داشته باشد. اگر نه پس یا پیوست نیست و یا هر آنچه پیوست شده است فایل پی‌دی‌اف نیست.
  •         جزئیات مربوط به فایل- نام، نوع، سایز- باید در صورت تکان دادن موس روی یک پیوست واقعی خود را نشان دهد. نباید در عوض لینکی را در یک وبسایت مشکوک ببینید.
  •         کمان کنار فایل نیم باید هایلایت شده باشد و حکم دکمه‌ای را داشته باشد که منوی زمینه را می‌آورد.
  •         پیوست باید در بلوکی جداگانه ظاهر ود نه در بدنه‌ی ایمیل. چیزی با این شکل:

در واقع، این ابژه که خود را جای یک پیوست پی‌دی‌اف زده یک عکس معمولی است. اگر تلاش کنید بخش‌هایی از پیام را با موس خود و یا استفاده از Ctrl-A (برای انتخاب همه) انتخاب کنید، این مقدار آشکار خواهد شد.

عکس، هایپرلینک برنامه مخرب را مبهم می‌کند. کلیک روی لینک، تروجان جاسوس‌افزار را دانلود می‌کند.

پی‌لودِ حمله

در این مورد خاص، لینک آلوده به آرشیوی تحت عنوان Swift_Banco_Unicredit_Wire_sepa_export_000937499223.cab اشاره داشت که حاوی لودری برای Trojan Kaspersky با هویت Trojan-Spy.Win32.Noon (یک تروجان جاسوس‌افزار کاملاً رایج) بود. این تروجان که از سال 2017 شناخته شده است به مهاجمین این قدرت را می‌دهد تا پسوردها و سایر اطلاعات را از فرم‌های ورودی بدزدد.

چطور در امان بمانیم؟

برای محافظت از شرکت خود در برابر تروجان‌های جاسوس‌افزار راهکار امنیتی مطمئن را روی هر دستگاهی که به اینترنت دسترسی دارد نصب کرده تا جلوی اجرا شدن بدافزار گرفته شود. افزون بر این، به کارمندان خود در خصوص شناسایی ترفندهای مجرمان سایبری در ایمیل‌ها نیز آموزش دهید.

 

 

[1] request for quotation

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.