مهاجمان در کارزاری هرزنامهای با بکارگیری تکنیکی خاص با عبور از سد محصولات امنیتی در حال آلودهسازی دستگاه کاربران به بدافزار LokiBot هستند.
به گزارش شرکت مهندسی شبکه گستر، LokiBot بدافزار معروفی است که اطلاعات باارزش را از روی دستگاه قربانی استخراج کرده و آنها را به سرور فرماندهی (Command-and-Control) مهاجم ارسال میکند.
در تصویر زیر مشخصههای نمونهای از ایمیلهای ارسالی در کارزار مذکور نمایش داده شده است.
اگر چه پیوست ایمیل فایلی با پسوند ZIPX است اما نرمافزارهای معمول، آن را بهعنوان فایلی PNG شناسایی میکنند. ضمن اینکه نشان (Icon) فایل با نشان فایلهای JPG همخوانی دارد.
با نگاهی دقیقتر به کدهای پیوست ایمیل روشن میگردد که فایل پیوست پوششی برای مخفیسازی فایل مخرب بدافزار است.
در فایلهای PNG، پایان کدهای تصویر با برچسب IEND مشخص میشود. اما همانطور که در تصویر زیر نشان داده شده است در ادامه برچسب مذکور با کلمه PK سرآیند فایلی ZIPX که خود حاوی فایلی دیگر با عنوان RFQ -5600005870.exe است آغاز میگردد.
باز کردن فایل مذکور توسط برخی برنامهها – نظیر WinRAR – موجب نادیده گرفته شدن بخش PNG و فراخوانی بخش مربوط به ZIPX میشود که در صورت اجرای فایل RFQ -5600005870.exe توسط قربانی، دستگاه به بدافزار LokiBot آلوده میشود.
LokiBot در بازارهای زیرزمینی تبهکاران سایبری با قیمت نه چندان بالای 300 دلار به فروش میرسد.
جزییات بیشتر در خصوص ترفند جدید مهاجمان که شرکت تراستویو به بررسی آن پرداخته در اینجا قابل دریافت و مطالعه است.