نماد سایت اتاق خبر شبکه گستر

انتشار انواع بدافزارها در کارزار هرزنامه‌ای “نامه عاشقانه”

مهاجمان در یک کارزار گسترده هرزنامه‌ای که به “نامه عاشقانه” (Love Letter) معروف شده در حال آلوده‌سازی دستگاه‌ها به انواع بدافزارها از جمله باج‌افزارها و استخراج‌کنندگان ارز رمز هستند.

پیوست هرزنامه‌های ارسالی فایل ZIP است که در آن یک فایل مخرب JavaScript قرار دارد.

به گزارش شرکت مهندسی شبکه گستر، فایل JavaScript که محتوای آن برای بی‌اثر کردن یا حداقل دشوار نمودن فرایند شناسایی مبهم‌سازی (Obfuscate) شده است فرمانی را از طریق پروسه معتبر PowerShell به اجرا در می‌آورد. وظیفه فایل مذکور دریافت فایلی مخرب با نام krablin.exe از سایت slpsrgpsrhojifdij[.]ru، ذخیره آن تحت نام winsvcs.exe در مسیر [UserProfile%\[number%\ و سپس اجرا نمودن بر روی دستگاه قربانی است.

در ادامه winsvcs.exe خود نیز تلاش می‌کند تا پنج بدافزار دیگر را دریافت کرده و سپس آنها را اجرا کند. باج‌افزار GandCrab، استخراج‌کننده XMRig و ارسال‌کننده هرزنامه Phorpiex نمونه‌هایی از این بدافزارها گزارش شده‌اند.

winsvcs.exe حافظه‌های شدنی (Removable Storage) متصل به دستگاه را هم آلوده کرده و عملا آنها را به ناقل بدافزار تبدیل می‌کند.

عناوین استفاده شده در هرزنامه‌های مذکور به‌شرح زیر می‌باشد:

موارد زیر نیز فهرست ایمیل هایی است که در قسمت From این هرزنامه‌ها مشاهده شده‌اند:

استفاده از ضدویروس قدرتمند و به‌روز، بکارگیری محصولات ضدهرزنامه (Anti-spam)، کنترل حافظه‌های جداشدنی و آگاهی‌رسانی به کاربران در خصوص خطرات باز کردن لینک‌ها و اجرای فایل‌های ناآشنا همگی در کنار یکدیگر می‌تواند سازمان را از گزند این‌گونه تهدیدات حفظ کند.

توضیح اینکه فایل‌های مخرب JavaScript مورد اشاره در این مطلب با نام‌های زیر قابل شناسایی می‌باشند:

Bitdefender:
   – JS:Trojan.Cryxos.1925
   – Trojan.Agent.DNBH
   – Trojan.GenericKD.31505957

McAfee:
   – JS/Nemucod.zw

Sophos:
   – JS/DwnLdr-XCT
   – JS/DwnLdr-XCS

خروج از نسخه موبایل