کمپین فیشینگ جدید از فایل Word برای توزیع سه نوع بدافزار استفاده می کند
در ماه آگوست 2023 ، محققان آزمایشگاه FortiGuard مربوط به شرکت فورتینت، یک کمپین فیشینگ جدید را شناسایی کردند که از فایل های مایکروسافت ورد برای توزیع بدافزار استفاده میکند . در این کمپین فیشینگ جدید ، یک فایل ورد حاوی URL مخرب برای ترغیب قربانیان به دانلود یک بارگزار بدافزار طراحی شده است.
برای ورود به سیستم قربانی، مهاجمان یک ایمیل فیشینگ با فایل Word مخرب به عنوان پیوست ارسال می کنند. لودر بدافزار این کمپین فیشینگ از یک استراتژی فرار binary padding استفاده می کند و برای افزایش اندازه فایل به 400 مگابایت به آن بایت های نول اضافه می کند.
بر اساس گزارش شرکت امنیت سایبری فورتی نت ،با کلیک بر روی پیوست، یک لینک مخرب جاسازی شده در فایل فعال میشود و منجر به تحویل سه نوع بارگزار بدافزار به نامهای RedLine Clipper، Agent Tesla و OriginBotnet می گردد. OriginBotnet برای keylogging و بازیابی رمز عبور، RedLine Clipper برای سرقت ارزهای دیجیتال و AgentTesla برای جمع آوری اطلاعات حساس مورد استفاده قرار می گیرند.
OriginBotnet دارای طیف وسیعی از قابلیت ها، از جمله جمع آوری داده های حساس، برقراری ارتباط با سرور C2 خود (سرور کنترل هکرها )، و دانلود فایل های اضافی از سرور برای اجرای عملکردهای keylogging یا بازیابی رمز عبور در دستگاه های در معرض خطرو هک شده است.
لودر RedLine Clipper با تغییر آدرس کیف پول ذخیره شده در کلیپ بورد قربانی به آدرس مهاجم، ارز دیجیتال را می دزدد. با ارزهای دیجیتال مختلف مانند بیت کوین، اتریوم، دوج کوین، لایت کوین، داش کوین و مونرو کار می کند.
RedLine Clipper بر آنچه کاربران کپی میکنند نظارت میکند، بهویژه با تمرکز روی آدرسهای کیف پول طولانی و پیچیده، که تایپ دستی آنها دشوار است. هنگامی که یک آدرس کیف پول را پیدا کرد، بدون اینکه کاربر بداند به طور محتاطانه آن را با آدرس مهاجم عوض می کند.
از سوی دیگر، بدافزار Agent Tesla میتواند Keystroke ها را ضبط کند و فهرستی از نرمافزارهای نصب شده روی دستگاه قربانی شامل مرورگرهای وب و کلاینتهای ایمیل را گردآوری کند.
یک Keystroke تعاملی است که با فشار دادن دکمه ای روی صفحه کلید خود انجام می دهید، به عبارت دیگر نحوه صحبت کردن شما با کامپیوتر می باشد. هر Keystroke یک سیگنال به برنامه های کامپیوترتان ارسال می کند تا به آنها اطلاع دهد چه کاری باید انجام دهند. این دستورات ممکن است شامل موارد زیر باشد: مدت زمان فشار دادن کلید
محققان گفتند: این حمله فیشینگ تکنیکهای پیچیدهای را برای فرار از شناسایی و حفظ پایداری در سیستمهای در معرض خطر نشان داد.
فورتی نت این حمله را به هیچ گروه هکری شناخته شده نسبت نداده است.