امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

در دوم نوامبر یک کمپین جدید مشاهده شد که در زمینه هرزنامه‏ ها فعالیت داشت و ایمیل ‏هایی حاوی یک پیوست سند ورد برای هدف قرار دادن شرکت‏ های انگلیسی ارسال می‏ کرد. هر پیام ایمیل با عنوان "Companies House – new company complaint " (خانه شرکت ‏ها دادخواهی شرکتی جدید) پیوستی شامل یک سند ورد با نام "Complaint.doc" را به ‏همراه داشت. هنگامی که کاربران این سند را باز کنند، این چیزی است که می ‏بینند:

 

trojan-trickbot 

 

TrickBot چگونه کار می ‏کند؟

اگر کاربران از دستورات داده شده پیروی کنند، ماکرو موجود در سند اجرا خواهد شد. فایل dododocdoc.exe را دانلود و در %temp% ذخیره خواهد کرد، سپس sweezy.exe را اجرا می ‏کند. این فایل یک نوع بدافزار از خانواده TrickBot است. بعد از یک بار اجرا در کامپیوتر نصب خواهد شد و یک فایل dll را در فرآیند سیستم svchost.exe تزریق خواهد کرد. بعد از آن به Command و Control سرور متصل خواهد شد.

شرکت مذکور، شرکت بزرگی نیست اما شرکت های انگلیسی را مورد هدف قرار داده است. ما تنها شاهد صدها ایمیل به کاربران خود بوده ‏ایم، آن‏ها بدون نیاز به مجوز یا بروزرسانی به‏ طور فعالانه محاظت شده بودند. با این حال باید تمامی قربانیان احتمالی را در نظر گرفت، تمام ایمیل‏ ها شرکتی بوده و هیچ کاربر خانگی مورد هدف قرار نگرفته است، و واضح است بیشتر این ایمیل ‏ها به تجارت در انگلستان مرتبط م ی‏شود. 7مورد در اسپانیا، بلژیک و ایرلند نیز وجود داشت. شرکت کوچکی بود و اولین مورد در ساعت 10:55صبح و آخرین مورد در ساعت 12:11 شب اتفاق افتاد.

ماکرو برای اجرا شدن بد افزار از PowerShell استفاده می ‏کند، که این اواخر یک روش بسیار رایج در حملات باج افزار است و حتی بخشی از پایانه ‏های فروش را آلوده می‏ کند.

 

 

به امید موفقیت

امور پشتیبانی مشترکین    

شرکت مهندسی و ایمنی شبکه دژپاد

تهران  شهرک غرب، خیابان ارغوان غربی، خیابان پرتو، نبش خیابان پامچال 2، پلاک 19، واحد 1

تلفن : 26654823(21) ,22137612(21)

نمابر :115-22137612(21)

پست الکترونیک : این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

وب سایت : www.dejpaad.com