پخش بدافزار توسط کمپینهای پیشگیری از ویروس کرونا
دامنهی شیوع ویروس کرونا -که ریشهاش در استانِ ووهانِ چین بوده است- گسترده و گستردهتر میشود و همین باعث شده ترسی همگانی به جان کشورهای سراسر جهان بیافتد. و خوب میدانید وقتی که چنین بحرانهایی رخ میدهد -خصوصاً بحران سلامتی- مجرمان، این فرصت طلایی را از دست نخواهند داد. بر اساس تلهمتری دو شرکت IBM و کسپرسکی، این اواخر سیلی از ایمیلهای آلودهِ باتنتی دارند از ویروس کرونا به عنوان تله استفاده میکنند. در کمپین رؤیتشده توسط IBM X-Force ادعا میشد این ایمیلها در ضمیمهی خود، اعلانهایی در خصوص اقدامات پیشگیری از ابتلا به ویروس کرونا دارند. جالب اینکه ویروسی به بهانهی توزیع ویروسی دیگر استفاده شده است. نام این ویروس، تروجان بدنامِ Emotet است.
به گفتهی محققین، بیشترِ ایمیلها به زبان ژاپنی نوشته شده بودند و این نشان میدهد اپراتورها تعمداً مناطق جغرافیاییای را مورد هدف قرار دادند که با توجه به قرار گرفتنشان در قارهی آسیا بیشتر از سایر مناطق تحت تأثیرِ بحران کرونا قرار داشتند. بخش subject این ایمیلها حاویِ تاریخ فعلی و معادل لغت «نوتیفیکیشن» به زبان ژاپنی بود (تا حس اضطرار در کاربران افزایش پیدا کند).
به نقل از نوشتهای از سوی تیم IBM X-Force که همین اواخر منتشر شد، «این ایمیلها ظاهراً توسط سرویس ارائهدهندهی امکانات رفاهی برای معلولین در ژاپن ارسال میشده است. در این متن به طور خلاصه گفته میشود که گزارشاتی مبنی بر بیماران مبتلا به کرونا در استان گیفوی ژاپن وجود دارد و همچنین از خواننده درخواست میشود داکیومنت ضمیمهشده را مشاهده نماید».
نسخههای دیگر همه به یک زبانند اما هشدارهای پیرامون گزارشات ابتلاشان بین استانهای مختلف ژاپن پخش میشود (شامل اوساکا و توتوری). این ایمیلها همچنین فوتری با آدرس قانونی میلینگ به همراه شماره تلفن و شماره فکس دارند (که مربوط به مرجع بهداشت عمومی برای استانهای مورد هدف میشود).
این شرکت گفت، «قبلاً ایمیلهای ژاپنیِ Emotet تمرکزشان روی فاکتورها و نوتیفیکیشنهای خرید سازمانی با استراتژی مشابه بود که آن زمان قربانیان، اروپایی بودند. این رویکرد جدیدِ ارسال Emotet به دلیل بهانه کرد ویروس کرونا حتماً موفقتر عمل خواهد کرد و قربانیان به مراتب بیشتری را خواهد گرفت».
به گفتهی محققین، جدا از طعمهی استفادهشده، کمپین مذکور کمپین بسیار معمولیای است. داکیومنتِ پیوست وقتی باز شد، پیامی به فرمت آفیس 365 بالا آمد که از کاربر خواهش کرده بود اگر داکیومنت در دیدِ محافظت شده (protected view) باز شده است گزینهی فعالسازی محتوا (enable content) را فعال کند. درست مانند بیشتر حملات ایمیلمحورِ Emotet، اگر این پیوست با ماکروهای فعالشده باز شود، ماکرو اسکریپتِ VBA مبهمسازیشده، پاورشل را باز کرده و در پسزمینه دانلودر Emotet را نصب میکند. یکی از تحلیلگران IBM X-Force چنین میگوید: «ماکروهای استخراجشده درست مانند سایر ایمیلهای Emotet مشاهدهشده در چند هفتهی اخیر از روش مبهمسازی یکسانی دارد استفاده میکنند».
فقط Emotet نیست که از آب گلآلود دارد ماهی میگیرد. کسپرسکی نیز شاهد چندین کمپین اسپم بوده است که در همین چند هفتهی اخیر سر و کلهشان پیدا شده است. این کمپینها حاوی دامنهای از پیوستها با موضوع ویروس کرونا بودهاند. محققین در طی تحلیلی دریافتند، «فایلهای آلودهی کشفشده خودشان را زیر پوشش فایلهای فرمت PDF، MP4 و DOC (در خصوص ویروس کرونا) مخفی کرده بودند. از نام این فایلها میشد فهمید شامل دستورالعملهای ویدیویی برای پیشگیری از ابتلا به ویروس کرونا، آپدیتهایی در مورد این تهدید و حتی روندهای شناسایی ویروس مذکور میشود که در اصل هیچیک از اینها حقیقت نداشت».
این فایلها حاوی گروهی تهدید از جمله تروجانها و کرمها هستندکه قادر به تخریب، بلاک و دستکاری یا کپی کردنِ اطلاعات میباشند. آنها میتوانند در عملکرد کامپیوترها یا شبکهها اختلال ایجاد کرده روندشان را قطع کنند. تا کنون 10 داکیومنت مختلف دست به دست شده است.
با توجه به اینکه تعداد موارد ویروس کرونا شوربختانه از شیوع سارس در سال 2003 هم بیشتر است (تا همین زمان نوشتن مقاله 8200 مورد تأیید شده است)، این بیماری احتمالاً جولانگاه خودبی برای مجرمان باقی خواهد ماند. آنتون ایوانف، تحلیلگر بدافزارِ کسپرسکی در گزارشی چنین نوشت: «همینطور که مردم بیشتر نگران سلامتیشان میشوند، تعداد بدافزارهای مخفیشده در داکیومنتهای تقلبی هم (با موضوع شیوع هر چه بیشتر این ویروس) بیشتر و بیشتر خواهد شد». IBM X-Force نیز هشدار داد که اپراتورهای Emotet امکان دارد بزودی دامنهی هدفهای خود را به خارج از مرز ژاپن توسعه دهد.
محققین چنین میگویند: «انتظار میرود با توجه به شیوع فزایندهی ویروس کرونا، در آینده شاهد ترافیک ایمیلهای آلوده (در رابطه با همین ویروس) باشیم. این شاید بسته به تأثیر اپیدمی کرونا روی بومیزبانها شامل زبانهای دیگر هم بشود. در چنین نمونههای اولیه، قربانیان ژاپنی ممکن است به دلیل مجاورتشان با چین مورد هدف قرر گرفته باشند. متأسفانه، این کاملاً بین عاملین تهدید مرسوم است که از عواطف و هیجانات انسانی سوءاستفاده کنند- خصوصاً اگر رویدادی به طور جهانی مردم را درگیر کند (مثل ویروس کرونا)».
منبع: کسپرسکی آنلاین
تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛
- ۹۸/۱۱/۱۶