مرکز آپا دانشگاه کردستان

ایمیل‌های با مضمون Black Lives Matter، حاوی بدافزار TrickBot

طبق بررسی‌های اخیر، ایمیل‌های اسپم حاوی بدافزار ادعا می‌کنند که حاوی یک نظرسنجی درباره جنبش Black Lives Matter (جان سیاه‌پوستان با اهمیت است) هستند اما در واقع حاوی تروجان‌های مخرب بانکی بوده‌اند. مهاجمان سایبری معمولاً از اخبار مهم روزانه سوء‌استفاده می‌کنند و همواره خواهان فرصتی برای نفوذ به سیستم قربانیان هستند. در چند هفته اخیر، در این راستا از یک کمپین انتشار ایمیل اسپم با نامBlack Lives Matter استفاده کرده‌اند که بدافزار مخرب TrickBot را منتشر می‌کند. طبق گفته‌های شرکت Abuse.ch که یک شرکت امنیت سایبری سوییسی است، افراد پشت این تهدید، خود را به جای مسئولین دولتی جا می‌زنند تا قربانیانی را که به مسائل اجتماعی علاقه‌مند هستند را اغوا کرده و آن‌ها را مجاب به کلیک بر روی پیوست حاوی بدافزار در ایمیل کنند. این پیام‌ها شامل عناوینی مانند Vote anonymous about Black Lives Matter یا Leave a review confidentially about Black Lives Matter هستند که خود را به شکل یک فایل نظرسنجی جا می‌زنند. با توجه به نمونه‌ فایل‌های بدافزار این کمپین که توسط Bleeping Computer بررسی شده است، پیوست‌ها در صورت باز شدن، دکمه‌ای با محتوای "فعال کردن ویرایش" یا "فعال کردن محتوا" به کاربر نشان داده می‌شود که در صورت کلیک بر روی آن، این دکمه ماکرو‌های حاوی بدافزاری را فعال می‌کند که TrickBot را در قالب یک فایل DLL آلوده دانلود می‌کنند. TrickBot یک بدافزار ماژولار است که از سال ۲۰۱۶ به وجود آمده و به سرعت در حال تغییر و تحول است. این بدافزار ابتدا به عنوان یک تروجان بانکی شروع به کار کرد و با گذشت زمان، کارکرد‌های دیگری از جمله جمع‌آوری داده‌های اعتبارسنجی از ایمیل‌های قربانیان، مرورگر‌ها و برنامه‌های تحت شبکه‌ی نصب شده، به آن اضافه شد. همچنین در طول تحولات این بدافزار، ماژول‌های بیشتری به آن اضافه گردیده و به عنوان یک بستر برای انتقال اطلاعات به بدافزار‌های دیگر نیز استفاده شده است. به عنوان مثال، در طول همین ماه ژوئن 2020، یک دربِ‌پشتی مخفی که محققان آن را " دربِ‌پشتی بازار" نامگذاری کرده‌اند به کمپین انتشار Trickbot اضافه شد. همچنین محققان به این مورد پی‌بردند که اپراتور‌های این بدافزار از دربِ‌پشت PowerTrick برای شناسایی موسسات مالی مختلف استفاده می‌کنند. مهاجمان سایبری که به دنبال یک درآمد سریع هستند، معمولاً از جنبش‌های مردمی، رخدادهای سیاسی یا رویدادهای ورزشی استفاده می‌کنند تا از علاقه مردم به یک موضوع خاص، حداکثر بهره را ببرند. این اتفاق در سال‌های اخیر در مورد جام جهانی فوتبال و اخیراً درخصوص موضوعات با محوریت ویروس کرونا رخ داد. همچنین طبق اطلاعاتی که whoisxmlapi.com به دست آورده، از پنج‌شنبه گذشته تا زمان نگارش این مطلب، به طور میانگین روزانه ۴۹ دامنه جدید که شامل یکی از کلمات مرتبط با این کمپین است، ثبت شده‌اند که احتمالاً تعدادی قانونی و تعدادی نیز غیرقانونی هستند. در ادامه این گزارش آمده است: طبق بررسی‌ها، این انواع از نام دامنه می‌توانند به طور متقاعد‌کننده‌ای برای اهدافی چون فیشینگ استفاده شوند که در آن‌ها قربانیان را برای دستیابی به اهداف مهاجمین اغوا می‌کنند. در مطلب دیگری نیز شرکت Tripwire اذعان کرده است که جدیدترین کمپین توزیع TrickBot، نیاز سازمان‌ها به دفاع از خود در برابر حملات فیشینگ را برجسته‌تر می‌کند. یکی از راهکاریی که سازمان‌ها می‌توانند برای مقابله با این دسته از فعالیت‌ها انجام دهند، آموزش کارمندان در مورد انواع کمپین‌های انتشار بدافزار و حملات فیشینگ است. تهیه و تدوین: پرند صلواتی