مؤسسات مالی، هدف بدافزاری پیشرفته اما آرام

شرکت Kaspersky از شناسایی کارزاری خبر داده که در جریان آن، مهاجمان با بکارگیری بدافزاری پیشرفته موسوم به Silence اقدام به جاسوسی از فعالیت‌های کاربران شبکه مؤسسات مالی می‌کنند.

دلیل انتخاب این نام، توانایی آن در مخفی ماندن از دید کاربر و محصولات امنیتی اعلام شده است.

این شرکت این بدافزار را در شبکه بانک‌هایی در مالزی، ارمنستان و روسیه کشف کرده است.

در گزارش Kaspersky اشاره شده که قابلیت‌های رصد و جاسوسی آن مشابه نمونه‌هایی است که پیش‌تر توسط گروه سایبری موسوم به Carbanak مورد استفاده قرار گرفته بوده.

مهاجمان پشت پرده Silence در ابتدا تلاش می‌کنند تا به برخی سیستم‌های سازمان هدف قرار گرفته شده رخنه کرده و حساب ایمیل کاربر این سیستم‌ها را در کنترل بگیرند. مشخص نیست که این رخنه‌ها به چه صورت صورت می‌گیرد.

در مرحله بعدی مهاجمان با حساب ایمیل هک شده اقدام به ارسال ایمیل‌های هدفمند Phishing به سایر کاربران سازمان هدف قرار گرفته شده می‌کنند.

در این ایمیل‌ها با بهره‌گیری از روش‌های مهندسی اجتماعی، کاربر تشویق به اجرای فایلی از نوع CHM می‌شود. فایل مذکور حاوی کدهای مخرب نوشته شده به زبان JavaScript است که در صورت اجرا شدن، یک فایل VBS را از نشانی درج شده در کد را دریافت کرده و بر روی دستگاه اجرا می‌کند.

فایل VBS نیز با سرور فرماندهی (C2) مهاجمان ارتباط برقرار نموده و پس از دریافت فایل‌ها و ماژول‌های مخرب بیشتر، آنها را بر روی دستگاه به اجرا در می‌آورد.

مشروح گزارش شرکت Kaspersky در اینجا قابل دریافت و مطالعه است. لازم به ذکر است که نشانی مذکور با نشانی IP متعلق به ایران قابل دسترس نمی‌باشد.

توضیح اینکه نمونه بررسی شده در این گزارش توسط محصولات شرکت Bitdefender با نام Trojan.Agent.CPPU شناسایی می‌شود. همچنین مشترکین شرکت McAfee نیز با آخرین به‌روزرسانی DAT و با بهره‌گیری از فناوری Artemis از گزند آلوده شدن به نمونه مذکور ایمن خواهند بود.