به گزارش کارگروه امنیت سایبربان؛ کارشناسان آزمایشگاه کسپرسکی بدافزاری به نام مانتیزتری (MontysThree) شناسایی کردند که متشکل از چندین ماژول مخرب بوده و حملات هدفمندی علیه شرکتهای صنعتی تدارک میبیند. اپراتورهای این بدافزار آن را بهاختصار MT3 نامگذاری کرده و کارشناسان کسپرسی نام کامل آن را ذکر کردهاند.
مانتیزتری از سال 2018 فعالیت خود را آغاز کرده و با بهرهگیری از پنهان نگاری و سرویسهای ابری عمومی از دید آنتیویروسها مخفی میماند.
این بدافزار که از 4 ماژول مخرب تشکیلشده از طریق حملات فیشنگ انتشار مییابد. ماژول اصلی آن از چندین الگوریتم رمزنگاری خصوصاً RSA جهت ارتباط با سرور کنترل و رمزگشایی دادههای پیکربندی استفاده میکند تا شناسایی نشود.
اپراتورهای این بدافزار پس از نفوذ به سیستم قربانی اقدام به جمعآوری اسناد مایکروسافت آفیس و فایلهای ادوبی آکروبات میکنند.
برخی ماژولهای این بدافزار اسکرین شات میگیرند تا اپراتورها تنظیمات محلی و شبکهای سیستم هدف را بررسی کنند و ببینند چه اندازه برایشان جذابیت دارد.
اطلاعات جمعآوریشده توسط بدافزار رمزگذاری شده و به سرویسهای ابری عمومی Dropbox ،Google Drive و Microsoft One Drive منتقل میشوند و از طریق آنها فایلهای جدید دریافت میشوند.
مانتیزتری که به زبان ++C نوشتهشده برای اینکه در سیستم جا خشک کند از پنل Windows Quick Launch بهره میگیرد و کاربران زمانی که برنامههای قانونی همچون مرورگرها را باز میکنند درواقع اولین ماژول این بدافزار را راهاندازی میکنند.
دنیس لِگِزو، کارشناس امنیت سایبری کسپرسکی در این خصوص اعلام کرد:
توسعهدهندگان مانتیزتری از استانداردهای مطمئن رمزنگاری و پنهان نگاری سفارش سازی شده استفاده میکنند. سطح مهارت اپراتورهای این بدافزار بهاندازه گروههای بزرگ APT نیست، اما همچنان مانتیزتری را توسعه داده و قابلیتها و ابزارهای جدیدی به آن اضافه میکنند. معتقدیم مانتیزتری اهداف معینی دارد و کمپینهایش طولانی خواهد بود.
