شما اینجا هستید
سایت خبری وان سرت » » فیشینگ » فیشینگ با پیوست‌ فایل‌های HTML Redirector

مایکروسافت از اجرای کارزار فیشینگی توسط گروه TA505 خبر داد که در جریان آن، فایل Excel مخرب از طریق ایمیل‌های با پیوست‌ فایل‌های موسوم به HTML Redirector به دستگاه قربانی راه پیدا می‌کند. به گفته مایکروسافت این نخستین‌بار است که گروه TA505 به تکنیک HTML Redirector روی آورده‌است.

در این کارزار جدید که بخش Security Intelligence مایکروسافت به آن پرداخته کد بدافزار با استفاده از ماکروی درون فایل Excel آلوده بر روی دستگاه دریافت می‌شود.

TA505 که با عنوان SectorJ04 نیز شناخته می‌شود گروهی متشکل از هکرها با انگیزه‌های مالی است که حداقل از سه‌ماهه سوم سال ۲۰۱۴ فعال بوده‌است. معروفیت این گروه به سبب اجرای حملات علیه شرکت‌های خرده‌فروشی و مؤسسات مالی از طریق کارزارهای هرزنامه‌ای در بستر Necurs Botnet است. این مهاجمان توزیع تروجان‌های دسترسی از راه دور (Remote Access Trojan) و Downloaderها ازجمله بدافزارهای Dridex و Trick و باج‌افزارهایی همچون Locky ،BitPaymer ،Philadelphia ،GlobeImposter و Jaff را در کارنامه دارند.

به گفته محققان به‌کارگیری تکنیک استفاده از پیوست‌های HTML توسط TA505 از اواسط ژانویه سال میلادی جاری آغاز و در این کارزار جدید از تغییر دهنده مسیر HTML در پیوست ایمیل‌های ارسالی استفاده شده‌است. با باز شدن، کد HTML منجر به دریافت خودکار یک فایل Excel حاوی ماکروی مخرب می‌شود که وظیفه آن دانلود و اجرای کد بدافزار است. این در حالی است که پیش‌تر و در کارزاری موسوم به Dudear، پیوست ایمیل یا لینک‌های درون ایمیل نقش ناقل بدافزار این مهاجمان را ایفا می‌کردند.

در کارزار جدید این‌طور به قربانی وانمود می‌شود که برای دسترسی به محتوای فایل Excel فراخوانی شده نیاز است که بر روی دکمه Enable Editing در نوار زرد رنگ کلیک شود. با کلیک بر روی دکمه مذکور، بخش ماکرو (Macro) فعال و بدافزاری که مایکروسافت از آن با عنوان GraceWire یاد کرده‌است به‌صورت خودکار بر روی دستگاه دریافت و اجرا می‌شود. 


 



گردانندگان این کارزار فیشینگ، فایل‌های HTML مورد استفاده در حملات خود را به زبان‌های مختلف توسعه داده و قربانیان را در کشورهای مختلف هدف قرار می‌دهند.
همچنین مهاجمان نشانی IP دستگاه‌هایی که از روی آنها فایل Excel مخرب دریافت می‌شود را مورد رصد و ردیابی قرار می‌دهند.
نشانه‌های آلودگی (IoC):
هش:
 
۴۴ffbe۶۹f۸f۱۸۹de۷fa۴f۷۹۴۶۸۶۲۴۱ee۴c۸۱۴de۹۰۶۸۱bfff۰a۳۷e۳۴۴ed۱۲۹۵۴e
۶۳c۱۳۷ed۸۸۲۵۶۰ba۰۳b۷۳۳۳a۴۹b۰۷۱۴۹۹۰c۵۸۱f۴e۸a۱b۷۵۷۹b۳۳۹c۷۴f۴۶۵aa۰۳
۶dee۴۴۰۸f۵۶۳۵۲۲f۷fe۵efb۹۸۹۱c۴۰۹۸۲۷۶۴۳۰۳۹bf۷c۸cd۱۷c۰d۸۰bcc۲۹۹۷ece
b۸۱۳۰۲bc۵cbfeddf۳b۶۰۸a۶۰b۲۵f۸۶۹۴۴eddcef۶۱۷e۷۳۳cddf۰fc۹۳ee۴ccc۷ab
bf۸۶ccaf۵e۷f۲۰۱۲۴a۲۵۹۲۱۲a۳a۷۸dae۱۲ec۲۵۹۴f۴۸d۵۲۵۶a۰۱۳۲۳c۷۷۲abc۶۰۶
d۷۵c۰e۸۸f۲۰۳dce۰۴e۷c۹۰a۳۲a۱۷cee۲۵e۵d۳acbb۵add۷c۳۳d۲۵۷b۸۶۰۰۲۸۱f۲b


منابع:


شما هم می توانید دیدگاه خود را ثبت کنید

کامل کردن گزینه های ستاره دار (*) الزامی است -
آدرس پست الکترونیکی شما محفوظ بوده و نمایش داده نخواهد شد -

ارسال نظر

نام:*
ایمیل:*
متن نظر:
کد را وارد کنید: *
عکس خوانده نمی شود
 

اخبار و آموزش امنیت سایبری | ارزش افزوده | فیشینگ | سایت های قمار و شرط بندی | حملات سایبری | آسیب پذیری