مراقب باشید! این یک بدافزار در ظاهر فکس است
سالهاست که انتشار بدافزارها از طریق پیوست هرزنامه ها به موضوعی عادی تبدیل شده است. روشی که استفاده از آن دانش بالایی نمی خواهد و حتی نفوذگران و ویروس نویسان نه چندان حرفه ای را هم قادر می کند تا بدون استفاده از هر گونه بهره جو (Exploit) پیشرفته و تنها با استفاده از روش های مهندسی اجتماعی اقدام به انتشار بدافزارهای خود کنند.
به گزارش شرکت مهندسی شبکه گستر به نقل از یکی از سایت های شرکت ضدویروس Bitdefender، یکی از روش هایی که نفوذگران، در سال های اخیر، به وفور، از آن استفاده کرده اند ارسال هرزنامه هایی با عناوینی همچون “Incoming Fax” و پیوست هایی آلوده بوده است.
هر چند، این روزها بسیاری افراد، دیگر، سروکاری با دستگاه های فکس ندارند اما کم نیستند سازمان هایی که فکس ها را به صورت الکترونیکی از طریق ماشین های Fax Server مدیریت می کنند. این ماشین ها، فکس دریافت شده را به نشانی(هایی) از پیش تعیین شده ایمیل می کنند.
بسیاری از ویروس نویسان برای فریب کاربران فایل آلوده را با بسوندهای دوگانه ای مانند DOC.JS. به هرزنامه ها پیوست می کنند. با توجه به اینکه به صورت پیش فرض در سیستم عامل Windows پسوندها نمایش داده نمی شوند، فایل آلوده، در حالت عادی، که در واقع فایلی اجرایی است با پسوند یک فایل PDF نمایش داده می شود و این احتمال اجرا شدن آن توسط کاربر ناآگاه را بیشتر می کند.
پیشینه این روش به سال 2000 باز می گردد؛ در آن سال بدافزار معروف ILoveYou از طریق فایلی با عنوان LOVE-LETTER-FOR-YOU.txt.vbs منتشر شد. اصلی ترین دلیل موفقیت این بدافزار استفاده از پسوند دوگانه بود که باعث می شد کاربر فایل را به عنوان یک فایل TXT بی خطر ببیند و نه یک فایل مخرب Visual Basic Script.
در مثال مورد بحث، پسوند JS فایل، مخرب بودن آن را آشکار می کند. ضمن اینکه در صورت استفاده از ماشین های Fax Server، نشانی ایمیل حاوی فایل فکس، یک نشانی معین و سارمانی است.
با رمزگشایی فایل مذکور، مشخص می شود که فایل با سه دامنه متفاوت ارتباط برقرار کرده و بدافزارهای دیگری را بر روی دستگاه کاربر دریافت و آنها را اجرا می کند.
در این نمونه خاص فایل های دانلود شده توسط ضدویروس Bitdefender با نام های Trojan.GenericKD.2827496،وGen:Variant.Kazy.759022 و Gen:Variant.Jaik.9143 شناسایی می شوند.
اگر در سازمانی مشغول به کار هستید که از روش توزیع فکس به صورت سنتی استفاده می کند توصیه می کنیم هیچگاه چنین ایمیل هایی را باز نکنید.
