مایکروسافت هشدار داد که ایمیل‌های "گزارشات ویروس‌کرونا" NetSupport RAT را پخش می‌کند.

مایکروسافت هشدار داد که ایمیل‌های "گزارشات ویروس‌کرونا" NetSupport RAT را پخش می‌کند.

مهاجمان از اسناد مخرب اکسل 4.0 به‌عنوان بستری برای پخش‌کردن NetSupport RAT در یک کمپین فیشینگ هدف‌دار استفاده کردند. اخیراً یک کمپین فیشینگ هدف‌دار که در حال گسترش ابزار دسترسی از راه دور NetSupport Manager، که ابزاری قانونی برای عیب‌یابی و پشتیبانی از فناوری‌ها مورد استفاده قرار می‌گیرد، کشف شده‌است. مهاجمان از کروناویروس به عنوان یک دام و وسیله‌ی تطمیع استفاده می‌کنند تا برای اجرایRAT از طریق اسناد مخرب اکسل، قربانیان را فریب دهند. محققان تیم اطلاعات امنیتی مایکروسافت در هفته‌ی اخیر اظهار داشتند که کمپین مذکور فعالیت خود را از 12 ماه می آغاز و تاکنون از صد‌ها پیوست مخرب منحصر‌به‌فرد اکسل 4.0 استفاده کرده‌است و به گفته‌ی محققان استفاده از این روش در ماه گذشته شدت یافته است. محققان در یک سری توئیت گفتند: "صدها فایل منحصربه‌فرد اکسل در این کمپین از فرمول‌های بسیار مبهم استفاده می‌کنند، اما همه‌ی آن‌ها برای بارگذاری به یک URL متصل می‌شوند." آن‌ها همچنین گفتند: "اکنون چندین ماه است که شاهد افزایش مداوم استفاده از ماکروهای مخرب اکسل 4.0 در کمپین‌های مخرب هستیم. در ماه آوریل، این کمپین‌های اکسل 4.0 از معروفیت کروناویروس بهره‌گرفته و شروع به استفاده از فریب‌هایی با مضامین COVID-19 کردند." ظواهر حاکی از این است که ایمیل‌های فیشینگ هدف‌دار از طرف مرکز Johns Hopkins آمده‌اند، که در این مرکز در مورد بیماری‌های همه‌گیر و فجایع، تحقیقاتی به عمل می‌آید تا "اطمینان حاصل شود که جوامع به چالش‌های عمده انعطاف‌پذیر هستند." نامه‌های الکترونیکی تحت عنوان " WHO COVID-19 SITUATION REPORT" منتشر شده و ادعا می‌کنند گزارشات مربوط به موارد تایید شده و تلفات مربوط به این بیماری همه‌گیر را در ایالات متحده، به‌روزرسانی می‌کنند. فایل پیوست مخرب اکسل 4.0 (با عنوان "covid_usa_nyt_8702.xls" در ایمیل نمونه) با یک اخطار امنیتی باز می‌شود و یک نمودار از موارد ظاهری کروناویروس را در ایالات متحده نشان می‌دهد که اگر یک قربانی آن را فعال کند، ماکرو بارگیری و NetSupport Manager RAT اجرا می‌شود. محققان می‌گویند که گرچه NetSupport Manager ابزاری قانونی است، اما به عنوان برنامه‌ای شناخته شده که با سوءاستفاده از آن توسط مهاجمان، دسترسی از راه دور و اجرای دستورات بر روی دستگاه‌های قربانی را ممکن می‌سازد. محققان بیان کردند:" NetSupport Manager RATمورد استفاده در این کمپین بعداً چندین مؤلفه‌ی دیگر را از جمله چندین فایل .dll, .ini, و دیگر فایل‌های .exe ، یک VBScript و یک اسکریپت PowerShell مبتنی بر PowerSploit مبهم‌سازی شده را ایجاد می‌کند." " همچنین به یک سرور C2 متصل می‌شود و به مهاجمان امکان می‌دهد دستورات بعدی ارسال کنند." دام coronavirus روزانه توسط عاملان مخرب مورد استفاده قرار می‌گیرد تا قربانیان بی‌خبر را برای باز کردن اسناد مخرب، کلیک بر روی پیوندهای مشکوک یا تحویل اعتبارنامه‌های خود، فریب دهد. در یک کمپین جداگانه نیز که این هفته توسط تیم امنیتی مایکروسافت گزارش شد، ایمیل‌های تاریخ 18 می که ادعا می‌کردند "تست COVID-19 رایگان" را ارائه می‌دهند، در واقع trojan Trickbot را گسترش داد. تهیه و تدوین: آزین زارعی