بدافزار Frombook

بدافزار Frombook

سرقت اطلاعات با بدافزار Frombook با طعمه قرار دادن ترس مردم از ویروس کرونا

 

یکی دیگر از برنامه های ایمیل که وانمود می کند حاوی اطلاعات (Coronavirus (COVID-19 از سازمان بهداشت جهانی (WHO) است، یک بدافزار را بارگیری می کند که Trojan سرقت اطلاعات FormBook را نصب می کند.

با وجود ترس از  ویروس کرونا و نواسانات آن، توزیع کنندگان بدافزار Frombook با طعمه قرار دادن این موضوع ایمیل هایی ارسال می کنند که وانمود می شود آخرین بروزرسانی در مورد شیوع بیماری کرونا است.

این ایمیلها حاوی پیوست فایل ZIP هستند و اطلاعات مربوط به آخرین “به روز رسانی ویروس کرونا” را از “سازمان بهداشت جهانی” بیان می کنند. هنگام مشاهده این ایمیل در یک سرویس گیرنده نامه ، آنچنان که در زیر مشاهده می کنید، نمایش داده نمی شوند.

 

بدافزار Frombook
هرزنامه ویروس کرونا

 

این محتوا وانمود می کند که آخرین به روزرسانی های مربوط به شیوع ویروس کرونا است و آمارهای مختلفی را ذکر می کند، حاوی ایمیلی از corona-virus@caramail.com است که بیشتر برای اهداف فیشینگ استفاده می شود و از شما می خواهد پرونده پیوست شده “MY-HEALTH.PDF” را به عنوان “ساده ترین و سریعترین راه برای به دست آوردن سلامتی و محافظت از دیگران” مشاهده کنید.

 

بدافزار Frombook
مشاهده ایمیل در یک مرورگر

 

این پیوست ZIP حاوی فایل اجرایی به نام MyHealth.exe است که توزیع کنندگان بدافزار Frombook در تلاش هستند تا به عنوان پرونده MyHealth.PDF که در ایمیل از آنها یاد می کنند، از شناسایی رد شوند. با توجه به اینکه آنها از نمادهای اجرایی عمومی استفاده می کنند، کار قانع کننده ای انجام نمی دهند.

 

بدافزار Frombook
پیوست نامه ایمیل

 

طبق گفته MalwareHunterTeam که این کمپین اسپم را کشف کرده است، فایل اجرایی آن GuLoader می باشد که بارگیری نرم افزارهای مخرب است.

GuLoader پس از اجرا، یک پرونده رمزگذاری شده را از https://drive.google.com بارگیری می کند، آن را رمزگشایی می کند و سپس بدافزار را به فرایند مشروعیت ویندوز wininit.exe تزریق می کند تا از شناسایی آن جلوگیری کند.

بدافزار بارگیری شده، Trojan سرقت اطلاعات FormBook است که وضعیت FireEye تلاش می کند محتویات کلیپ بورد ویندوز را سرقت کند، گزارش آنچه را که در صفحه کلید تایپ می کنید بر می دارد و هنگام مرور وب، داده ها را سرقت می کند.

نکته: “این بدافزار خود را به پروسس های مختلفی تزریق می کند و قلاب های عملکردی را برای ورود به صفحه کلیدها، سرقت مطالب کلیپ بورد و استخراج داده ها از جلسات HTTP نصب می کند. این بدافزار همچنین می تواند دستورات را از یک سرور دستور و کنترل (C2) اجرا کند. این دستورات شامل آموزش بدافزار به بارگیری و اجرای پرونده ها، شروع فرایندها، خاموش و راه اندازی مجدد سیستم و سرقت کوکی ها و کلمات عبور محلی ” است.

با استفاده از این بدافزار، مهاجمان می توانند گواهینامه های بانکی، اطلاعات ورود به وب سایت، کوکی هایی را که به آنها امکان ورود به سایت ها را به عنوان قربانی و محتویات کلیپ بورد ویندوز را می دهد، بدزدند.

این بدان معناست که افرادی که به بدافزار Frombook آلوده شده اند با خطر سرقت هویت، سرقت بانکی آنلاین و مصالحه حساب های دیگری که بطور معمول وارد آن می شوند مواجه هستند.

اگر به تازگی ایمیلی دریافت کرده اید که ادعا می کند از WHO در مورد ویروس کرونا است و حاوی ضمیمه ای است که شما باز کرده اید، به شما توصیه می شود کامپیوتر خود را در اسرع وقت با نرم افزار ضد ویروس اسکن کنید.

 

محافظت از خود در برابر کلاهبرداری ویروس کرونا

 

هنگام دریافت ایمیل، هرگز نباید پیوست ها را باز کنید مگر اینکه فرستنده را تأیید کنید.

این بدان معناست که شما باید تأیید ارسال را از ارسال کننده دریافت کنید یا حداقل در مورد ایمیل پیوست شده با سرپرست شبکه خود صحبت کنید تا اطمینان حاصل شود که ضمیمه ایمن است یا خیر.

سازمان بهداشت جهانی همچنین هشدار داده است که مواظب بزهکارانی که در تلاش برای جعل هویت آنها هستند باشید و آنها:

  • هرگز از شما نمی خواهند برای مشاهده اطلاعات ایمنی وارد شوید.
  • هرگز پیوستهایی را که درخواست نکردید از طریق ایمیل ارسال نمی کنند.
  • هرگز از شما نمی خواهد که به پیوند خارج از www.who.int مراجعه کنید.
  • هرگز برای تایید درخواست شغلی، ثبت نام در کنفرانس یا رزرو هتل هزینه نمی خواهد.
  • هرگز قرعه کشی نمی کند و جوایز، کمکهای مالی، گواهی نامه یا بودجه را از طریق ایمیل ارائه نمی کند.
  • هرگز از شما درخواست نمی کند که مستقیماً به برنامه های واکنش اضطراری بودجه اهدا کنید یا درخواست سرمایه گذاری نمی کند.

اگر ایمیلی را دریافت کرده اید که ادعا می کند از WHO است و پیوست دارد، به سادگی آن را به عنوان هرزنامه علامت گذاری کرده و آن را حذف کنید.

منبع : https://www.bleepingcomputer.com/

تهیه شده توسط : حسین صالحی شها

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *