حملات بدافزاری از طریق فایل‌های IQY

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

حملات بدافزاری از طریق فایل‌های IQY
q851
پژوهشگران Trendmicro اخیرا فعالیت‌های سایبری مخربی را مشاهده کرده‌اند که از فایل‌های IQY سوء استفاده می‌کنند. به نظر می‌رسد که بدلیل کارایی فایل‌های IQY در دور زدن روش‌های شناسایی مبتنی بر ساختار، مجرمین سایبری در حال بهره‌گیری از ساختار ساده این فایل‌ها هستند.
آخرین بررسی‌های Trendmicro نشان می‌دهد که بات‌نت Cutwail در حال توزیع ایمیل‌های اسپم با بهره‌گیری از فایل‌های IQY است. این حمله کاربران ژاپنی را مورد هدف قرار داده است و بدافزارهای BEBLOH یا URSNIF را منتقل می‌کند.
در ایمیل‌های اسپم با استفاده از روش‌های مهندسی اجتماعی کاربر وادار به کلیک بر روی پیوست می‌شود. فعالیت این حملات در تاریخ ۶ آگوست (۱۵ مرداد) شناسایی شده و در آن حدود ۵۰۰ هزار ایمیل اسپم ارسال شده است. حملات تا تاریخ ۹ آگوست (۱۸ مرداد) ادامه داشته‌اند و پس از آن متوقف شده‌اند.
بر اساس تحلیل‌های انجام شده روی ایمیل‌ها، پس کلیک کاربر روی فایل IQY پیوست شده، درخواستی به URL موجود در کد این فایل ارسال می‌شود. پس از این درخواست، داده‌هایی دریافت می‌شوند که حاوی اسکریپتی هستند که از ویژگی DDE (تبادل داده پویا) در اکسل سوء استفاده می‌کنند. این فرایند موجب اجرای PowerShell می‌شود که این فرایند ابتدا IP کاربر را بررسی می‌کند که آیا در کشور هدف قرار یا خیر. در صورت قرار داشتن کاربر در کشور هدف، بدنه نهایی BEBLOH یا URSNIF به رایانه قربانی منتقل می‌شود.
بدافزارهای BEBLOH و URSNIF در سال ۲۰۱۶ در کشور ژاپن فعال بوده‌اند. بدافزار BEBLOH یک تروجان بانکی است که برای سرقت پول از حساب‌های بانکی قربانیان طراحی شده است. URSNIF یک بدافزار سارق اطلاعات است و ویژگی‌هایی از قبیل نظارت بر مرورگر و دورزدن محیط‌های سندباکس را دارا است.

IoCهای موج اول حملات ۶ آگوست (۱۵ مرداد):
q852
IoCهای موج اول حملات ۸ آگوست (۱۷ مرداد):

q853

منبع:
https://blog.trendmicro.com/trendlabs-security-intelligence/iqy-and-powershell-abused-by-spam-campaign-to-infect-users-in-japan-with-bebloh-and-ursnif
منبع:ماهر