انتشار انواع بدافزارها در کارزار هرزنامه‌ای “نامه عاشقانه”

مهاجمان در یک کارزار گسترده هرزنامه‌ای که به “نامه عاشقانه” (Love Letter) معروف شده در حال آلوده‌سازی دستگاه‌ها به انواع بدافزارها از جمله باج‌افزارها و استخراج‌کنندگان ارز رمز هستند.

پیوست هرزنامه‌های ارسالی فایل ZIP است که در آن یک فایل مخرب JavaScript قرار دارد.

به گزارش شرکت مهندسی شبکه گستر، فایل JavaScript که محتوای آن برای بی‌اثر کردن یا حداقل دشوار نمودن فرایند شناسایی مبهم‌سازی (Obfuscate) شده است فرمانی را از طریق پروسه معتبر PowerShell به اجرا در می‌آورد. وظیفه فایل مذکور دریافت فایلی مخرب با نام krablin.exe از سایت slpsrgpsrhojifdij[.]ru، ذخیره آن تحت نام winsvcs.exe در مسیر [UserProfile%\[number%\ و سپس اجرا نمودن بر روی دستگاه قربانی است.

در ادامه winsvcs.exe خود نیز تلاش می‌کند تا پنج بدافزار دیگر را دریافت کرده و سپس آنها را اجرا کند. باج‌افزار GandCrab، استخراج‌کننده XMRig و ارسال‌کننده هرزنامه Phorpiex نمونه‌هایی از این بدافزارها گزارش شده‌اند.

winsvcs.exe حافظه‌های شدنی (Removable Storage) متصل به دستگاه را هم آلوده کرده و عملا آنها را به ناقل بدافزار تبدیل می‌کند.

عناوین استفاده شده در هرزنامه‌های مذکور به‌شرح زیر می‌باشد:

• : )
• ; )
• : D
• I love you
• My letter just for you
• Please read and Reply
• Wrote this letter for you
• Just for you!
• This is my love letter to you
• My love letter for you
• Wrote my thoughts down about you
• Wrote the fantasy about us down
• Felt in love with you!
• Always thinking about you
• You are my love!

موارد زیر نیز فهرست ایمیل هایی است که در قسمت From این هرزنامه‌ها مشاهده شده‌اند:

• Teddy Bailey <Teddy31[@]8038.com>
• Imogene Carter <Imogene99[@]0354.com>
• Imelda Jones <Imelda31[@]1529.com>
• Ted Hall <Ted93[@]4302.com>
• Deanne Harris <Deanne11[@]5387.com>
• Bob Ross <Bob01[@]0437.com>
• Teddy Gonzalez <Teddy21[@]8381.com>
• Bradford Reed <Bradford99[@]2804.com>
• Taylor Phillips <Taylor74[@]4656.com>
• Deena Hernandez <Deena49[@]1659.com>

استفاده از ضدویروس قدرتمند و به‌روز، بکارگیری محصولات ضدهرزنامه (Anti-spam)، کنترل حافظه‌های جداشدنی و آگاهی‌رسانی به کاربران در خصوص خطرات باز کردن لینک‌ها و اجرای فایل‌های ناآشنا همگی در کنار یکدیگر می‌تواند سازمان را از گزند این‌گونه تهدیدات حفظ کند.

توضیح اینکه فایل‌های مخرب JavaScript مورد اشاره در این مطلب با نام‌های زیر قابل شناسایی می‌باشند:

Bitdefender:
   – JS:Trojan.Cryxos.1925
   – Trojan.Agent.DNBH
   – Trojan.GenericKD.31505957

McAfee:
   – JS/Nemucod.zw

Sophos:
   – JS/DwnLdr-XCT
   – JS/DwnLdr-XCS