זהירות: פוגען לא מוכר מופץ בדוא"ל זדוני
מאת:
מערכת Telecom News, 20.11.17, 08:53
לאחרונה זוהתה תכתובת דוא"ל חשודה הכוללת קישור למסמך Word. ההודעה נשלחה לכאורה מהכתובת .publisher@media.randreports.org תיאור מפורט של התקיפה.
לאחרונה
זוהתה ברשות הלאומית להגנת הסייבר תכתובת דוא"ל חשודה הכוללת קישור למסמך
.Word ההודעה נשלחה לכאורה מהכתובת
publisher@media.randreports.org.
תיאור התקיפה
מחקירת תכתובת הדוא"ל מדובר בקמפיין דיוג ממוקד (
Spear Phishing) המתחזה למכון המחקר הידוע
RAND וכולל רישום דומיין ייעודי. כחלק משיטת התקיפה, יש ניסיון לביצוע הנדסה חברתית לשם הורדת מסמך מקושר, שמוריד פוגען מסוג סוס טרויאני. ההודעה והקובץ שנשלחו נראים לגיטימיים ודומים למידע, שנשלח מהארגון.
הודעות הדואר נשלחו מכתובת רשת 46.165.199.138, שאינה מזוהה ככתובת זדונית או כשירות מוכר להפצת דוא"ל זדוני. כתובת זו מקושרת לשרת השייך לחברת האחסון
Leaseweb וממוקמת בגרמניה.
מבדיקה נראה, שההודעה נשלחה באמצעות סקריפט מוכר,
PHPMail, שמאפשר להתחזות לכתובת דוא"ל אחרת.
לאחר פתיחת הקובץ המקושר יורד קובץ הרצה מסוג
bat מהדומיין
media.randreports.org, אותו דומיין, שממנו נשלח הדוא"ל. הקובץ יורד באמצעות סקריפט
PowerShell ישירות לנתיב
c:\Users\Public\aidz.bat ומופעל באופן אוטומטי.
קובץ ההרצה
aidz.bat מתפקד כראש-גשר (
Dropper), שמוריד 2 קבצים נוספים מהדומיין הנ"ל. הקובץ הראשון הוא מסמך
Word (
China_Adiz.doc), הקובץ השני הוא קובץ הרצה זדוני (
MSWORD1.exe).
יש לחזור ולהדגיש למשתמשים, שיש להפעיל שיקול דעת בנוגע לפתיחת צרופות, שהגיעו משולחים לא מוכרים או שהגיעו באופן בלתי צפוי משולחים מוכרים.
עדכון 20.11.17, 23:55: בנוסף, הרשות הלאומית להגנת הסייבר
דיווחה על קמפיין תקיפה גם כן באמצעות דוא"ל המשתמש בפוגען
.Adwind מחקירת תכתובת הדוא"ל עולה, שבגוף ההודעה הופיע קישור המוסווה כקובץ
PDF. לחיצה על הקישור מורידה את פוגען
Adwind לעמדה.
Adwind אותר לראשונה ב-2012 ומוכר בשמות נוספים כמו
AlienSpy, Frutas, Unrecom, Sockrat, JSocket, and jRat ו-
jFrutas. הפוגען מתקשר עם שרת שו"ב (
C&C) ומסוגל לגנוב מידע הכולל סיסמאות, הקשות מקלדת, וכן לבצע צילומי מסך, הקלטת ווידאו וצילום תמונות
.
עדכון 22.11.17, 07:58: כ"כ,
דיווחה הרשות להגנת הסייבר, שבימים האחרונים זוהה בישראל גם קמפיין תקיפה הכולל גם כן הודעות דוא"ל מכתובות דוא"ל של חברה מתחום הלוגיסטיקה, בצירוף קישור לאתרי פישינג, במסווה של הודעות מ-
Office365.
קמפיין התקיפה חולק ל-2 שלבים:
בשלב הראשון נשלחו מספר הודעות, בגרסאות שונות מכתובות שונות של החברה, לכתובות ברשימת אנשי הקשר של חשבונות הדוא"ל.
בשלב השני נשלחו הודעות לאותם חשבונות, אך כתובת השולח שונתה ל:
lbeauregard@msdistributors.com. תוכן ההודעה והחתימה של השולחים נותרו זהים.
כותרות הודעות הדוא"ל התייחסו ל"חשבונית שאושרה" או נושא כלכלי דומה וכללו קישור הנראה כקובץ
Word. הקישור מוביל לאתר מתחזה ל-
Office 365 כדי להשיג פרטי גישה של המשתמש לחשבונות באתר זה.