روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ این روزها شاهد فعالیت کمپین ارسال انبوه ایمیل هستیم که هدفشان فریب کارمندان شرکت با استفاده از پیوست‌های آلوده به جاسوس‌افزار  Agent Tesla است. این بار مهاجمین موقع ساختن پیام‌های ایمیل خود توجه ویژه‌ای به ریزه‌کاری‌ها و جزئیات داشته‌اند (تا بدین‌ترتیب واقعاً کارمندان آن‌ها را با ایمیل‌های کاری معمولی و قانونی که اغلب به همراه پیوست‌هایی هستند اشتباه بگیرند). هدف نهایی آن‌ها این است که گیرنده را فریب بدهند تا آرشیو پیوست را باز کرده تا بعد بتوانند فایل مخرب را اجرا کنند. با ما همراه بمانید تا این ترفند را مورد بررسی قرار دهیم.

چرا این میلینگ آلوده، خاص است؟

برای شروع باید بگوییم که مجرمان سایبری از شرکت‌های واقعی به عنوان پوشش استفاده می‌کنند: آن‌ها ایمیل‌های خود را پر می‌کنند از لوگوهای واقعی و امضاهای به نظر عادی. شاید انگلیسی مهاجمین بی‌نقص باشد اما در اصل هدف مهاجمین هم این است که خود را ساکنین کشورهای غیرانگلیسی‌زبان جا بزنند (بلغارستان یا فرضاً مالزی) تا بدین‌ترتیب کمتر به آن‌ها شک کنند. مهاجمین آرشیو مخرب خود را از جانب بسیاری از شرکت‌ها ارسال می‌کنند (و متن ایمیل را نیز مطابق با آن تغییر می‌دهند). برخی‌اوقات مجرمان سایبری از کارمندان شرکت قیمت یک سری اجناس را که احتمالاً در آرشیو پیوستی فهرست شده می‌پرسند و این درحالیست که برخی دیگر از آن‌ها ممکن است بپرسند آیا فعلا محصول استوک شده است یا خیر.

البته آنچه ما شاهدش بودیم این است که شاید همه انواع متن‌ها هم برای فریب دادن قربانی نباشد. ایده، متقاعد کردن گیرنده است برای اینکه چک کنند ببیند این شبه‌مشتری دقیقاً به چه نوع کالایی علاقه دارد. مجرمان سایبری بسیار تلاش کرده‌اند که این مرحله ابتدایی را بی‌نقص درست کنند؛ حرکتی که میان کمپین‌های میلینگ انبوه چندان معمول و رایج نیست. پیشتر چنین تکنیک‌هایی را تنها در حملات هدف‌دار دیده بوده‌ایم.

از نقطه‌نظر گیرنده، تنها پرچم قرمز که می‌شود با چشم غیرمسلح متوجهش شد آدرس فرستنده است. نام دامنه آن به ندرت با نام دامنه شرکت در تطابق است. این درحالی است که نام فرستنده نیز با نامی که در امضا آمده فرق دارد و این در مورد آدرس‌ کسب و کارهای قانونی صدق نمی‌کند. در مثال بالا می‌بینیم که نامه از آدرس  newsletter@ است که شاید برای میلینگ بازاریابی خوب باشد اما به طور قطع برای نامه‌ای با درخواست گرفتن مظنه قیمت نرمال نیست!

معرفی تروجان Agent Tesla

Agent Tesla که با نام Trojan-PSW.MSIL.Agensla توسط راهکارهای ما شناسایی شده است در واقع بدافزاریست قدیمی که اطلاعات محرمانه را سرقت نموده و آن را به اپراتورهای حمله می‌فرستد. نخست اطلاعات محرمانه‌ای را که در برنامه‌های مختلف ذخیره‌شده‌اند شکار می‌کند: مرورگرها، کلاینت‌های ایمیل، کلاینت‌های FTP/SCP، پایگاه‌های داده، ابزارهای مدیریت از راه دور، اپ‌های وی‌پی‌ان و چندین مسنجر فوری. با این حال،  Agent Tesla همچنین قادر به سرقت داده‌های کلیپ‌بورد، ضبط ضربات کلید کیبورد و گرفتن اسکرین‌شات نیز هست. Agent Tesla همه اطلاعات جمع‌آوری‌شده را از طریق ایمیل به مهاجمین ارسال می‌کند. با این وجود برخی سویه‌های اصلاحی بدافزار قادرند از طریق مسنجر تلگرام نیز اقدام به انتقال داده کرده یا آن را در وبسایت یا سرور FTP آپلود نمایند.

چطور ایمن بمانیم؟

در حالت ایده‌آل، چنین تهدیدهای سایبری را باید در همان فازهای اولیه جلویشان را گرفت- وقتی نامه مخرب به سرور میل سازمان می‌رسد. شاید چشم غیرمسلح نتواند در نگاه اول آن را تهدید تلقی کند اما اسکنرهای ایمیل معمولاً کاملاً قادرند این امور را بخوبی بر عهده گیرند. از این رو ایده خوبیست اگر با راهکار امنیتی مناسبی از میل سرور خود محافظت کنید. همچنین باید همزمان میزان دانش و آگاهی کارمندان شرکت خود را نیز نسبت به مباحث امنیت سایبری افزایش دهید (برای مثال با استفاده از پلت‌فرم‌های یادگیری آنلاین). برای اینکه ممطئن شوید بدافزارهای ارسالی از سوی مهاجمین اجرا نشده‌اند همچنین بایست کامپیوتر کارمندان خود را نیز به لایه محافظتی مضاعفی تجهیز مجهز نمایید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.