مهاجمان در یک کارزار “فیشینگ” و با ایمیلهایی با پیوست فایل ISO در حال انتشار بدافزار Loki هستند.
تصویر زیر نمونهای از ایمیلهای ناقل Loki را نشان میدهد.
همانطور که در تصویر بالا قابل مشاهده است پیوست ایمیل، فایلی با پسوند ISO است که تلاش دارد تا یک صورتحساب را در ذهن دریافتکننده تداعی کند. عنوان و متن درون ایمیل نیز همین را به دریافتکننده القا میکند.
فایلهای ISO آرشیوهایی هستند که میتوان از آنها برای Mount کردن درایوهای CD/DVD از طریق نرمافزارهایی همچون WinISO یا PowerISO استفاده کرد. نرمافزارهایی نظیر 7Zip و WinZip قابلیت باز کردن این فایلها و نمایش محتوای آنها را دارا هستند.
در تصویر زیر پیداست که محتوای فایل پیوستشده به ایمیل فایلی اجرایی با نام Invoice 5001H5 است.
خوشبختانه ISO استفاده شده توسط مهاجمان فاقد فایل autorun.inf است؛ فایلی که میتوانست منجر به اجرای خودکار فایل اجرایی درون ISO در صورت Mount شدن آن شود. بهصورت پیشفرض بر روی Windows 10 قابلیتی وجود دارد که با دو بار کلیک بر روی هر فایل ISO منجر به Mount شدن آن بر روی دستگاه میشود.
Invoice 5001H5.exe توسط Visual Basic توسعه یافته و در 23 آبان ماه کامپایل شده است.
با اجرای Invoice 5001H5.exe فایل دومی ایجاد شده و در حافظه قرار میگیرد. فایل دوم ماژول اصلی Loki است.
به گزارش شرکت مهندسی شبکه گستر، Loki ابزاری برای سرقت اطلاعات اصالتسنجی است که مرورگرها، پیامرسانها و نرمافزارهای مدیریت FTP، بازیها، مدیریت فایل، مدیریت SSH/VNC، مدیریت رمزهای عبور، مدیریت ایمیلها و ثبتکننده یادداشتها را هدف قرار میدهد.
جزییات بیشتر در خصوص بدافزار Loki در اینجا قابل دریافت و مطالعه است.
فایلهای Invoice 5001H5.iso و Invoice 5001H5.exe که در این مطلب به آنها اشاره شد با نام های زیر شناسایی میشوند:
Bitdefender:
– Trojan.GenericKD.40758812
McAfee:
– RDN/Generic.dx