کاربران سوئیسی هدف حملات Retefe banking

به گزارش کارگروه امنیت سایبربان؛ ETERNALBLUE نتیجه فعالیت‌های NSA به شمار می‌رود که در حمله واناکرای و نات پتیا عنوان‌های بزرگی به خود اختصاص داده است. این در حالی است که بدافزار نام‌برده پروتکل SMBv1 را هدف حملات خود قرار داده که بیشتر توسط توسعه‌دهندگان بدافزار مورداستفاده قرار می‌گیرد.
به‌عنوان‌مثال تحقیقات در مورد بدافزار WannaCry نشان می‌دهد که حداقل سه گروه دیگر توانایی بهره‌برداری از EternalBlue را دارند. در اوایل سال جاری، محققان در Flashpoint مشاهده TrojBank بانکداری TrickBot همچنین شامل یک ماژول EternalBlue نیز هست.
مجرمان سایبری که از این بدافزارها پشتیبانی می‌کنند با قرار دادن ابزار جدید بدافزارهای سازمان جاسوسی NSA را توسعه می‌بخشند. کارشناسان موج جدیدی از پیام‌های حملات فیشینگ را با استفاده از اسناد مایکروسافت آفیس به نمایش گذاشتند، این در حالی است که بررسی‌های اخیر نشان می‌دهد فایل‌های مخرب با پسوند Windows Shortcut .lnk منتشرشده است.
هنگامی‌که کاربر کلید میانبر هشدار امنیتی را پذیرفت، فرمان PowerShell را اجرا می‌کند که یک بایگانی Zip خود استخراج‌شده در سرور میزبان را بارگیری می‌کند.
آرشیو Zip حاوی یک برنامه نصب جاوا اسکریپت است که شامل چند پارامتر در تنظیمات پیکربندی است. به گفته محققان بدافزار، یکی از پارامترها (pseb:) برای ارجاع به اجرای یک اسکریپت که سوءاستفاده از EternalBlue را اجرا می‌کند، اضافه‌شده است. پیکربندی مشاهده‌شده در تاریخ 5 سپتامبر شامل ویژگی‌ای برای ورود نصب و پیکربندی قربانی شد. کدهای مخرب یک اسکریپت PowerShell را از یک سرور از راه دور دریافت می‌کند که حاوی کدهای بدافزار مربوطه است.