به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، طبق گزارش بخش امنیت مایکروسافت، چندین کمپین فیشینگ شناسایی شدهاند که در پوشش نامههایی جعلی از سوی اداره مالیات آمریکا (IRS)، بدافزارهایی را پخش میکنند.
مهاجمان در این کمپینها از ابزارهایی مانند لینکهای کوتاهشده و کیوآر کدهای آلوده (روش معروف به کویشینگ (quishing)) استفاده میکنند تا مسیر حمله خود را مخفی کنند.
این لینکها اغلب در فایلهای پی دی اف (PDF) پیوستشده به ایمیلهایی جعلی قرار دارند که ظاهراً از اداره مالیات آمریکا ارسال شدهاند.
یکی از کمپینها که به گروه بدافزاری طوفان-0249 (Storm-0249) نسبت داده شده، از اسناد پی دی اف حاوی لینکهایی استفاده میکند که کاربر را پس از چند مرحله هدایت به صفحهای جعلی شبیه به سایت داکیوساین (DocuSign) میبرند.
اگر سیستم کاربر با فیلترهای مهاجمان سازگار باشد، یک فایل جاوا اسکریپت (JavaScript) از طریق سرویس فایربیس (Firebase) دریافت میشود که در نهایت بدافزار MSI حاوی BRc4 را اجرا و بدافزار خطرناک لترودکتوس (Latrodectus) را نصب میکند.
در غیر اینصورت، فایل پی دی اف بیخطری برای گمراه کردن سامانههای امنیتی به کاربر ارائه میشود.
در کمپین دیگر، از ایمیلهایی با عناوینی چون "گزارش بازپرداخت مالیات کارمند" یا "بررسی تعدیل حقوق" استفاده شده، اما بدنه ایمیل خالی است و فقط یک فایل پی دی اف حاوی پیامی ساده با دستور اسکن یک کد کیوآر پیوست شده است.
اسکن این کد، کاربر را به صفحهای مشابه صفحه ورود مایکروسافت ۳۶۵ هدایت میکند تا اطلاعات ورود او را سرقت کند.
جیمی اختر، مدیرعامل شرکت سایبر اسمارت (CyberSmart) هشدار داده که هرچند حملاتی با کد کیوآر چیز جدیدی نیستند، اما پیچیدگی این کمپینها سطح جدیدی از تهدید را نشان میدهد.
او تأکید میکند که این حملات کاملاً مؤثر بودهاند و افراد و کسبوکارها باید بیشتر از همیشه محتاط باشند.
توصیه او این است که اگر ایمیلی با ادعای تغییر رمز عبور از سوی مایکروسافت دریافت کردید، بهویژه اگر حاوی کد کیوآر بود، ابتدا هویت فرستنده را بررسی کنید و در صورت تردید، با پشتیبانی مایکروسافت تماس بگیرید.
مایکروسافت هم توصیه میکند که آموزش کاربران در مورد امنیت داده و تشخیص یو آر ال (URL) های مشکوک، فعالسازی احراز هویت دو مرحلهای (2FA)، و استفاده از نرمافزارهای امنیتی برای شناسایی و مسدودسازی لینکها و فایلهای آلوده نباید کنار گذاشته شوند.
