بدافزاری که از طریق ایمیلها در سیستم قربانی نصب میشود در نخستین مرحله از حمله، اسکریپتی برای استخراج پیلودهای اضافی و جمعآوری دادههای سیستم قربانی راهاندازی میکند. سپس اقدام به جمعآوری دادههای حسابهای کاربری از مرورگرها و کلاینتهای ایمیل و فایلهای کوکی و دادههای کارتهای اعتباری میکند. در ادامه اطلاعات جمعآوریشده را به سرور فرماندهی و کنترل ارسال میکند و یک فایل BAT ردپای حمله را از بین میبرد.
گروه «TA505» در ابتدا به دلیل استفاده از باج افزارهای Dridex و Locky شهرت پیدا کرد و در حال حاضر نیز از بدافزارهای BackNet ،Cobalt Strike ،ServHelper ،Bart ،FlawedAmmyy ،SDBbot RAT و DoppelPaymer استفاده میکند.
نظرات