کمپین فیشینگ جدید از فایل Word برای توزیع سه نوع بدافزار استفاده می کند

در ماه آگوست 2023 ، محققان آزمایشگاه FortiGuard مربوط به شرکت فورتینت، یک کمپین فیشینگ جدید را شناسایی کردند که از فایل های مایکروسافت ورد برای توزیع بدافزار استفاده می‌کند . در این کمپین فیشینگ جدید ، یک فایل ورد حاوی URL مخرب برای ترغیب قربانیان به دانلود یک بارگزار بدافزار طراحی شده است.

برای ورود به سیستم قربانی، مهاجمان یک ایمیل فیشینگ با فایل Word مخرب به عنوان پیوست ارسال می کنند. لودر بدافزار این کمپین فیشینگ از یک استراتژی فرار binary padding استفاده می کند و برای افزایش اندازه فایل به 400 مگابایت به آن بایت های نول اضافه می کند.

بر اساس گزارش شرکت امنیت سایبری فورتی نت ،با کلیک بر روی پیوست، یک لینک مخرب جاسازی شده در فایل فعال می‌شود و منجر به تحویل سه نوع بارگزار بدافزار به نام‌های RedLine Clipper، Agent Tesla و OriginBotnet می‌ گردد. OriginBotnet برای keylogging و بازیابی رمز عبور، RedLine Clipper برای سرقت ارزهای دیجیتال و AgentTesla برای جمع آوری اطلاعات حساس مورد استفاده قرار می گیرند.

OriginBotnet دارای طیف وسیعی از قابلیت ها، از جمله جمع آوری داده های حساس، برقراری ارتباط با سرور C2 خود (سرور کنترل هکرها )، و دانلود فایل های اضافی از سرور برای اجرای عملکردهای keylogging یا بازیابی رمز عبور در دستگاه های در معرض خطرو هک شده است.

لودر RedLine Clipper با تغییر آدرس کیف پول ذخیره شده در کلیپ بورد قربانی به آدرس مهاجم، ارز دیجیتال را می دزدد. با ارزهای دیجیتال مختلف مانند بیت کوین، اتریوم، دوج کوین، لایت کوین، داش کوین و مونرو کار می کند.

RedLine Clipper بر آنچه کاربران کپی می‌کنند نظارت می‌کند، به‌ویژه با تمرکز روی آدرس‌های کیف پول طولانی و پیچیده، که تایپ دستی آنها دشوار است. هنگامی که یک آدرس کیف پول را پیدا کرد، بدون اینکه کاربر بداند به طور محتاطانه آن را با آدرس مهاجم عوض می کند.

از سوی دیگر، بدافزار Agent Tesla می‌تواند Keystroke ها را ضبط کند و فهرستی از نرم‌افزارهای نصب شده روی دستگاه قربانی شامل مرورگرهای وب و کلاینت‌های ایمیل را گردآوری کند.

یک Keystroke تعاملی است که با فشار دادن دکمه ای روی صفحه کلید خود انجام می دهید، به عبارت دیگر نحوه صحبت کردن شما با کامپیوتر می باشد. هر Keystroke یک سیگنال به برنامه های کامپیوترتان ارسال می کند تا به آنها اطلاع دهد چه کاری باید انجام دهند. این دستورات ممکن است شامل موارد زیر باشد: مدت زمان فشار دادن کلید

محققان گفتند: این حمله فیشینگ تکنیک‌های پیچیده‌ای را برای فرار از شناسایی و حفظ پایداری در سیستم‌های در معرض خطر نشان داد.

فورتی نت این حمله را به هیچ گروه هکری شناخته شده نسبت نداده است.