ایمیل‌های فیشینگ، در ظاهر هشدار امنیتی کسپرسکی

به گزارش شرکت مهندسی شبکه گستر، شرکت روسی Group IB از اجرای حمله‌ای خبر داده که در آن مهاجمان با ارسال ایمیل‌های فیشینگ در ظاهر هشدار شرکت کسپرسکی کاربران را به بدافزار Cobalt آلوده می‌کنند.

محققان Group IB بر این باورند که استفاده از بدافزار Cobalt تنها در انحصار گروهی با همین نام است و در حالی که رهبر این گروه حدود دو ماه قبل در اسپانیا دستگیر شد همچنان اعضای آن به فعالیت‌های سایبری خود ادامه می‌دهند.

با این حال به‌نظر می‌رسد که مشتریان بانک‌ها و موسسات مالی روسیه و دیگر کشورهای عضو اتحاد جماهیر شوروی سابق اهداف اصلی حمله اخیر این گروه هستند.

روش انتشار نسخه جدید این بدافزار ایمیل‌های فیشینگی است که در قالب یک هشدار امنیتی به کاربران ارسال می‌شوند.

نکته قابل توجه این که در این ایمیل‌ها که نمونه‌ای از آنها در شکل زیر قابل مشاهده است، این طور وانمود می‌شود که فرستنده، شرکت ضدویروس روسی کسپرسکی است و ایمیل در نتیجه شکایت کاربران این شرکت از نقض قوانین صورت پذیرفته توسط کامپیوتر کاربر ارسال شده است!

در ایمیل از کاربر خواسته می‌شود که با کلیک بر روی دگمه درج شده در آن، متن شکایت‌نامه را دریافت کند.

در برخی نمونه ها، در صورت کلیک بر روی دگمه، فایلی با نام Complaint.doc از نشانی زیر دریافت شده و بر روی دستگاه اجرا می شود:

   – hxxps://kaspersky-security[.]com/Complaint.doc

این فایل حاوی کد بهره‌جویی است که هدف آن سوءاستفاده از آسیب‌پذیری CVE-2017-8570 در نرم‌افزار Office و اجرای بدافزار بر روی دستگاه قربانی است. با این حال به دلیل اشتباه مهاجمان در پیکربندی صحیح بهره‌جو، در این نمونه‌ها، عملاً بدافزار بر روی دستگاه دریافت نمی‌شود.

در برخی نمونه های دیگر کلیک بر روی دگمه، مستقیما سبب دریافت و اجرای بدافزار Cobalt می شود.

گروه Cobalt اجرای حملات پیشرفته سایبری بر ضد بیش از 100 بانک در 40 کشور را در کارنامه خود دارد.

علاوه بر بکارگیری ضدویروس به‌روز و قدرتمند، آموزش کاربران در پرهیز از کلیک کردن بر روی لینک‌ها و باز نمودن پیوست‌های ایمیل مشکوک نقشی اساسی در ایمن نگاه داشتن سازمان از گزند این نوع حملات دارد.

مونه‌های بررسی شده توسط شرکت Group IB با نام‌های زیر شناسایی می‌شوند:

Bitdefender
   – Exploit.CVE-2017-8570.Gen
   – Trojan.GenericKD.30859312

McAfee
   – Exploit-CVE2017-8570.a
   – Artemis!7B55C7AE346E

Sophos
   – Exp/201711882-H
   – Mal/Generic-S

عنوان ایمیل‌های فیشینگ استفاده در این حمله نیز به شرح زیر است:

  – Technical Support

همچنین این ایمیل‌های فیشینگ، با نشانی‌های زیر ارسال شده‌اند:

  – recive@kaspersky-corporate[.]com
  – info@kaspersky-corporate[.]com
  – r.levis@kaspersky-corporate[.]com

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *