به گزارش کارگروه فناوری سایبربان؛ یک کارزار جدید فیشینگ در حال تلاش برای فریب دادن قربانیان برای دانلود یک بدافزار است؛ این بدافزار به مجرمان سایبری اجازه میدهد تا کنترل کامل دستگاههای آلوده که دارای سیستمعامل مایکروسافت ویندوز هستند را به دستگیرند.
این تروجان دسترسی از راه دور که Quaverse نام دارد اولین بار در سال ۲۰۱۵ ظهور کرد و تاکنون نیز موفق بوده است؛ دلیل موفقیت آنهم پنهان شدن زیر چندین لایهی مبهم است که شناسایی را سخت میکند و به هکرها امکان دسترسی از راه دور به کامپیوترهای قربانیان را میدهد.
قابلیتهای این بدافزار شامل: سرقت رمزهای عبور، ورود به سیستم، مرورگر فایل، گرفتن عکس از صفحه و موارد دیگر است که همهی این قابلیتها به هکرها اجازه میدهد تا به اطلاعات حساس دست پیدا کنند.
محققان امنیت سایبری در Trustwave یک کارزار جدید به نام QRat را شناسایی کردند که در حال تلاش برای فریب مردم در جهت دانلود آخرین نسخهی این بدافزار هستند؛ نسخهای که کارشناسان از آن با عبارت بسیار پیشرفته یاد میکنند.
ایمیل فیشینگ اولیه ادعا میکند که به قربانی پیشنهاد یک وام با شرایط خوب بازپرداخت ارائه میدهد که بهطور بالقوه میتواند توجه قربانیان را به خود جلب کند. بااینحال پیوست مخرب اصلاً مربوط به موضوع بیانشده در ایمیل فیشینگ نیست و حاوی ویدیویی از رئیسجمهور دونالد ترامپ است.
محققان حدس میزنند که مهاجمان این پیوست را بر اساس آنچه در حال حاضر خبرساز است انتخاب کردهاند. تلاش برای باز کردن این فایل به هر دلیلی که باشد، منجر به نصب بدافزار QRat میشود.
این بدافزار برای جلوگیری از شناسایی شدن، از چندین لایهی مبهم و تکنیکهای جدید استفاده میکند.
بااینحال این فرایند حتی با یک هشدار همراه است که به کاربر میگوید این نرمافزار که در حال نصب شدن است میتواند برای دسترسی از راه دور و آزمایش میزان نفوذ استفاده شود. اگر کاربر بپذیرد نرمافزار QRat روی سیستم نصب شود، به دنبال آن بدافزار بارگیری میشود تا از شناسایی جلوگیری شود.
شاید کمی عجیب به نظر بیاید که چرا مردم ویدئویی را دانلود میکنند که اصلاً با موضوعی که در پی آن بودند هیچ ارتباطی ندارد؛ اما تحریک کنجکاوی هنوز یک تاکتیک فوقالعاده مفید است که توسط مجرمان سایبری اعمال میشود.
دیانا لوپرا (Diana Lopera) یک محقق ارشد امنیتی در شرکت Trustwave میگوید، ارسال فایلهای مخرب JAR که اغلب منجر به دسترسی از راه دور میشود مانند این نمونه، کاملاً رایج است. صاحبان ایمیل باید به دنبال موضعگیری سخت در برابر فایلهای JAR ورودی و مسدود کردن آنها در دروازههای امنیت ایمیل خود باشند.
همچنین ممکن است در آینده یک فریب ایمیلی با طراحی بهتر بتواند منجر به افزایش تأثیرگذاری این کارزار QRat شود.
وی در انتها خاطرنشان کرد:
درحالیکه میزان بارگذاری پیوست نسبت به قبل افزایش داشته است، اما عملکرد این کارزار بسیار غیرحرفهای و ابتدایی بوده و ما معتقدیم که اگر ارسال این ایمیل با پیچیدگی بیشتری انجام میشد با موفقیت بیشتری همراه بود.
