فیشینگ گسترده برای انتشار ابزاری معتبر

مایکروسافت از اجرای کارزاری فیشنگ خبر داده که در آن با سوءاستفاده از بحران همه‌گیری ویروس کووید ۱۹، نرم‌افزار NetSupport Manager بر روی دستگاه قربانیان نصب می‌شود.

NetSupport Manager یک ابزار معتبر دسترسی از راه دور است.

در این کارزار از طریق ایمیل‌هایی که در ظاهر از سوی مرکز جانز هاپکینز در خصوص آمار مرگ ناشی از ویروس کووید ۱۹ ارسال شده‌اند کاربر تشویق به اجرای فایل Excel پیوست می‌شود.

به گزارش شرکت مهندسی شبکه گستر، با اجرای پیوست که فایلی با نام covid_usa_nyt_8072.xls است کاربر با نموداری مشابه با تصویر زیر روبرو می‌شود.

فایل مذکور حاوی ماکروهای مخربی است که در صورتی که کاربر بر روی دگمه Enable Content کلیک کند کدهای آنها اجرا شده و نرم‌افزار NetSupport Manager دریافت و بر روی دستگاه قربانی نصب می‌شود.

به گفته مایکروسافت صدها فایل منحصربه‌فرد Excel در این کارزار مورد استفاده قرار گرفته و همگی آنها به شدت مبهم‌سازی (Obfuscation) شده‌اند. با این حال در همه نمونه ها ماکروهای استفاده شده به یک نشانی URL یکسان متصل می‌شوند.

با نصب NetSupport Manager دسترسی کامل به دستگاه به‌صورت از راه دور برای مهاجمان فراهم می‌شود.

در این حمله خاص، NetSupport Manager با نام dwm.exe در پوشه‌ای با نام تصادفی در مسیر %AppData% ذخیره می‌شود.

این مهاجمان مدتی پس از اجرای ابزار مذکور، برنامه‌های مخرب مورد نظر خود را در قالب فایل‌های dll،و ini و exe و اسکریپت‌های VBScript و PowerShell بر روی دستگاه قربانی اجرا می‌کنند.

مایکروسافت اعلام کرده که قربانیان این حملات باید سرقت شدن داده‌هایی همچون اطلاعات اصالت‌سنجی را نیز محتمل بدانند.

لذا پس از پاکسازی دستگاه‌های آلوده، باید رمزهای عبور تغییر یافته و سایر سیستم‌های شبکه نیز مورد بررسی قرار بگیرد.

علاوه بر استفاده از ضدویروس و ضدهرزنامه قدرتمند و به‌روز و همچنین پیکربندی صحیح تنظیمات ماکرو، آموزش کاربران در پرهیز از اجرای فایل‌های مشکوک و عدم کلیک بر روی لینک‌های ناآشنا نقشی اساسی در ایمن‌سازی سازمان از گزند این نوع تهدیدات دارد.