انتشار شده در تاریخ 1401/02/08 - 07:42

ارسال گسترده ایمیل‌های مخرب برای انتشار بدافزارهای کیوبات و ایموتت

شمار ایمیل‌های مخرب ارسال‌شده به کاربران شرکت‌ها 10 برابر افزایش‌یافته است.

به گزارش کارگروه امنیت سایبربان؛ یافته‌های محققان آزمایشگاه کسپرسکی نشان می‌دهد شمار پیام‌ها و ایمیل‌های اسپم ارسال‌شده به کاربران شرکت‌ها، خصوصا سازمان‌های روسیه که بدافزارهای کیوبات (Qbot) و ایموتت (Emotet) را پخش می کنند، 10 برابر افزایش‌یافته است. ایمیل‌ها در فوریه 2022، حدودا 3000 پیام و در ماه مارس تقریبا 30000 مورد بوده است.

هدف اصلی مهاجمان در این کمپین نفوذ به مکاتبات سازمانی و متقاعد کردن کاربران برای دانلود بدافزار در رایانه آنها است. مهاجمان همواره سعی دارند به دستگاه‌های کاربران دسترسی پیدا کنند.

پیام‌های اسپم شناسایی‌شده به زبان‌های مختلف ازجمله انگلیسی، آلمانی، فرانسوی، ایتالیایی، لهستانی، مجارستانی، نروژی و اسلوونیایی نوشته‌شده‌اند.

یکی از ترفندهای هکرها بدین‌صورت است که کاربران در جریان یک مکاتبه، ایمیلی حاوی پیوست یا لینکی دریافت می‌کنند که اغلب به یک سرویس‌ ابری محبوب ذخیره‌سازی فایل‌ها هدایت می‌کند. ایمیل‌ها به‌گونه‌ای ساماندهی می‌شوند تا کاربران متقاعد شوند پیوست را بازکرده و یا به لینک مراجعه نمایند، سند آرشیوشده را دانلود کرده و آن را باز کنند. هکرها اغلب بدافزار را در یک آرشیو رمزگذاری شده قرار می‌دهند و رمز عبور را در متن ایمیل اعلام می‌کنند.

مهاجمان جهت فریب و منحرف ساختن قربانی می‌نویسند سند حاوی داده‌های مهمی است که گیرنده مدت‌هاست آن‌ها را درخواست کرده است، به‌عنوان‌مثال، یک فرم پرداخت یا یک پیشنهاد تجاری.

بر اساس گزارش کسپرسکی، همه این‌ها بخشی از یک کمپین سازمان‌دهی شده با هدف انتشار تروجان‌های بانکی است. در اکثر موارد، یک سند مخرب بازشده تروجان کیوبات را بارگذاری می‌کند و گاهی اوقات نیز پیلود به ایموتت تغییر می‌کند.

هر دو بدافزار قادر به سرقت داده‌های کاربر، جمع‌آوری اطلاعات از یک شبکه سازمانی آلوده، انتشار در آن، نصب باج افزار یا سایر بدافزارها بر روی دستگاه‌های سازمانی هستند. کیوبات همچنین می‌تواند به ایمیل‌ها دسترسی پیدا کرده و آنها را بدزدد و سپس از آن‌ها برای سازمان‌دهی بیشتر ایمیل‌های مخرب استفاده نماید.

آندرِی کُفتون، رئیس گروه حفاظت در برابر تهدیدات ایمیل کسپرکسی دراین‌باره می‌گوید جعل مکاتبات تجاری یک تکنیک رایج است؛ اما در این کمپین کلاه‌برداری همه‌چیز کمی زیرکانه‌تر است. در اینجا، مکاتبه واقعی است، چراکه مهاجم با ایمیل حاوی بدافزار وارد یک گفتگویی می‌شود که در حال انجام است. متن پیام اغلب به سبک رسمی نوشته می‌شود و با یک اسکریپت جنریت می‌شود که این امر باعث می‌شود مسدود شدن ایمیل‌های مخرب توسط فیلترهای اسپم دشوارتر گردد.