روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ کارکنانی که با صدها ایمیل سر و کار دارند احتمال اینکه ایمیل‌ها را سرسری بخوانند و پیوست‌ها را به طور خودکار دانلود کنند زیاد است. مجرمان سایبری هم البته از همین مسئله سوءاستفاده می‌کنند و داکیومنت‌های به ظاهر مهم را که در باطن فقط و فقط لینک‌های فیشینگی دارند که به بدافزار ختم می‌شود می‌فرستند. متخصصین ما اخیراً دو کمپین اسپم بسیار شبیه به هم پیدا کرده‌اند که تروجان‌های بانکی IcedID و Qbot را توزیع می‌کنند. با ما همراه بمانید.

اسپم با داکیومنت‌های آلوده

هر دو ایمیل‌ها خود را جای مکاتبات تجاری زده بودند. در مورد اول، مهاجمین به دلایل قلابی و جعلی‌ای درخواست غرامت کرده بودند و یا در مورد لغو عملیات چیزی گفته بودند. یک فایل اکسل زیپ‌شده با فایل‌نیم CompensationClaim به پیام پیوست شده و در کنار آن یک سری شماره هم بود.

اسپم دوم هم به بخش پرداختی‌ و کانتکت‌ها مربوط می‌شد. این اسپم حاوی لینکی بود که به وبسایت هک‌شده‌ای ختم می‌شد؛ وبسایتی که در آن آرشیو حاوی داکیومنت ذخیره شده بود. در هر دو پرونده، هدف مهاجم متقاعد کردن گیرنده برای باز کردن فایل اکسل آلوده و اجرای ماکرو در آن بود؛ بدین‌ترتیب یا  IcedID و یا Qbot  (شیوع کمتر) در دستگاه قربانی دانلود می‌شد.

IcedID و Qbot

تروجان‌های بانکی IcedID و Qbot سال‌هاست که فعالیت دارند؛ IcedID اولین بار سال 2017 توجه محققین را به خود جلب کردند و Qbot نیز از سال 2008 در حال پیش بردن امور مخربش است. افزون بر این، مهاجمین پیوسته در حال ارتقای تکنیک‌ها و ترفندهای خود هستند. برای مثال، آن‌ها با استفاده از ترفندی به نام استاگنوگرافی که شناسایی‌اش خیلی کار سختی است اجزای اصلی IcedID را در تصویر IcedID پنهان می‌کنند.

امروز، هر دوی این برنامه‌های بدافزار در بازار سایه[1] موجودند و علاوه بر سازندگانشان، کلی مشتری این تروجان‌ها را توزیع می‌کنند. کار اصلی این بدافار سرقت اطلاعات کارت بانکی و اطلاعات محرمانه‌ی اکانت‌های بانکی است؛ ترجیحاً اکانت‌های تجاری (و بالطبع ایمیل‌های مربوط به کسب و کار). به منظور رسیدن به اهداف خود، تروجان‌ها متودهای زیادی را به کار می‌گیرند. برای مثال آن‌ها ممکن است:

• یک اسکریپت آلوده را به وب‌پیجی تزریق کنند تا داده‌های واردشده توسط کاربر رهگیری شود.
• کاربران بانکداری آنلاین را به پیج لاگین جعلی هدایت کنند.
• داده‌های ذخیره‌شده در مرورگر را سرقت کنند.

Qbot همچنین می‌تواند برای رهگیری پسوردها، ضربات روی کلیدهای کیبورد را لاگ کند. متأسفانه سرقت داده‌های پرداختی تنها دردسری نیست که انتظار قربانیان را می‌کشد. برای مثال IcedID می‌تواند بدافزار دیگری را که شامل باج‌افزار می‌شود را نیز در دستگاه‌های آلوده دانلود کند. در عین حال، ترفندهای Qbot شامل سرقت رشته‌های ایمیل برای استفاده در کمپین‌های بعدی اسپم نیز می‌شد؛ همینطور ارائه اپراتورهای آن‌ها با دسترسی ریموت به کامپیوترهای قربانیان. به طور خاص اگر این اتفاق روی دستگاه‌های محل کار بیافتد عواقب جدی به همراه خواهد داشت.

راهکارهای امنیتی

فرقی ندارد مجرمان سایبری چقدر می‌توانند در کار خود خبره باشند، به هر حال باید یک سری قوانین امنیتی یکسان را رعایت کنید. هر دو کمپین‌های اسپم مربوطه نیاز دارند که گیرنده‌ها را مجاب به انجام اقدامات ریسکی کنند- اگر آن‌ها فایل آلوده را باز نکنندو و نگذارند ماکرو اجرا شود خیلی راحت نقشه مهاجمین نقش بر آب خواهد شد. به همینطور از شما خواهشمندیم راهکارهای امنیتی معمول زیر را انجام دهید:

• هویت فرستنده را از جمله نام دامنه بررسی کنید. برای مثال فردی که ادعا می‌کند کنتراکتور است و یا یک کلاینت سازمانی اما دارد از آدرس جیمیل استفاده می‌کند ممکن است ماجرا مشکوک باشد. و اگر نمی‌دانید صرفاً فرستنده کیست با همکاران خود این مسئله را در میان گذاشته و موضوع را بررسی کنید.
• ماکروها را به صورت پیش‌فرض از خود دور بدارید و با داکیومنت‌هایی که شما را به فعالسازی ماکروها ملزم می‌دارند به چشم موری مشکوک نگاه کنید. هرگز ماکرویی را اجرا نکنید مگر آنکه کاملاً مطمئن باشید فایل بدان نیاز دارد- و امن است.
• یک راهکار امنیتی قابل‌اطمینان نصب کنید. اگر روی دستگاه شخصی کار می‌کنید و یا کارفرمای شما در خصوص محافظت ایستگاه کار کم‌کاری می‌کند مطمئن شوید دستگاهتان امن است. محصولات ما هم IcedID و هم Qbot را شناسایی خواهند کرد.

[1] shadow market

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.