استفاده از فایل‌های pub در حملات spam

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

استفاده از فایل‌های pub در حملات spam
q849
به تازگی نوعی حملات ایمیل اسپم مشاهده شده است که تعدادی از بانک‌ها را مورد هدف قرار داده است. در این ایمیل‌ها از یک فایل Microsoft Office Publisher (دارای فرت .pub) مجهز به یک درپشتی شناخته شده برای آلوده‌سازی سیستم‌های قربانیان استفاده شده است. به گفته پژوهشگران Trustwave، عنوان ایمیل‌ها در خصوص مشاوره پرداخت است و تمامی دامنه‌های قربانیان به بانک‌ها تعلق دارند.
در تحلیل‌های انجام شده، مشخص شده که از URLهای موجود در ایمیل‌ها، تروجان با دسترسی از راه دور FlawedAmmyy دانلود می‌شود. تروجان FlawedAmmyy یک ابزار درپشتی است که به مهاجم اجازه می‌دهد تا سیستم قربانی را از راه دور کنترل کند. این تروجان بر اساس کد منبع نسخه ۳ برنامه کنترل دسکتاپ از راه دور Ammyy Admin نوشته شده است و دارای قابلیت‌های کنترل از راه دور دسکتاپ، مدیریت فایل، پشتیبانی از پراکسی و گفتگو صوتی است.
بنظر می‌رسد که از بات‌نت Necrus برای انتشار گسترده تروجان استفاده شده باشد. پس از باز کردن فایل .pub، از کاربر خواسته می‌شود تا اجرای کد ماکرو را فعال کند. با اجرای کد ماکرو، یک اسکریپت VBScript، فایل فشرده‌ای را اجرا می‌کند که منجر به دانلود تروجان می‌شود. این کد از شی‌هایی برای مخفی کردن URL مخرب استفاده می‌کند. همچنین، تروجان اطلاعاتی از سیستم قربانی مانند شناسه، سیستم‌عامل، نام‌ها و اطلاعات احرازهویت را به مهاجم ارسال می‌کند.
تروجان FlawedAmmyyابتدا در اوایل ماه جولای به عنوان بخشی از یک حمله از طریق ایمیل‌های اسپم، توسط گروه سایبری TA۵۰۵ منتشر شد. این گروه که فعالیت آن در حوزه مالی است، تروجان را با استفاده از فایل‌های PDF آلوده منتشر کرده است.
منبع:

https://threatpost.com/unique-malspam-campaign-uses-ms-publisher-to-drop-a-rat-on-banks/۱۳۶۶۵۶

منبع:افتا