روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ این روزها شاهد فعالیت کمپین ارسال انبوه ایمیل هستیم که هدفشان فریب کارمندان شرکت با استفاده از پیوستهای آلوده به جاسوسافزار Agent Tesla است. این بار مهاجمین موقع ساختن پیامهای ایمیل خود توجه ویژهای به ریزهکاریها و جزئیات داشتهاند (تا بدینترتیب واقعاً کارمندان آنها را با ایمیلهای کاری معمولی و قانونی که اغلب به همراه پیوستهایی هستند اشتباه بگیرند). هدف نهایی آنها این است که گیرنده را فریب بدهند تا آرشیو پیوست را باز کرده تا بعد بتوانند فایل مخرب را اجرا کنند. با ما همراه بمانید تا این ترفند را مورد بررسی قرار دهیم.
چرا این میلینگ آلوده، خاص است؟
برای شروع باید بگوییم که مجرمان سایبری از شرکتهای واقعی به عنوان پوشش استفاده میکنند: آنها ایمیلهای خود را پر میکنند از لوگوهای واقعی و امضاهای به نظر عادی. شاید انگلیسی مهاجمین بینقص باشد اما در اصل هدف مهاجمین هم این است که خود را ساکنین کشورهای غیرانگلیسیزبان جا بزنند (بلغارستان یا فرضاً مالزی) تا بدینترتیب کمتر به آنها شک کنند. مهاجمین آرشیو مخرب خود را از جانب بسیاری از شرکتها ارسال میکنند (و متن ایمیل را نیز مطابق با آن تغییر میدهند). برخیاوقات مجرمان سایبری از کارمندان شرکت قیمت یک سری اجناس را که احتمالاً در آرشیو پیوستی فهرست شده میپرسند و این درحالیست که برخی دیگر از آنها ممکن است بپرسند آیا فعلا محصول استوک شده است یا خیر.
البته آنچه ما شاهدش بودیم این است که شاید همه انواع متنها هم برای فریب دادن قربانی نباشد. ایده، متقاعد کردن گیرنده است برای اینکه چک کنند ببیند این شبهمشتری دقیقاً به چه نوع کالایی علاقه دارد. مجرمان سایبری بسیار تلاش کردهاند که این مرحله ابتدایی را بینقص درست کنند؛ حرکتی که میان کمپینهای میلینگ انبوه چندان معمول و رایج نیست. پیشتر چنین تکنیکهایی را تنها در حملات هدفدار دیده بودهایم.
از نقطهنظر گیرنده، تنها پرچم قرمز که میشود با چشم غیرمسلح متوجهش شد آدرس فرستنده است. نام دامنه آن به ندرت با نام دامنه شرکت در تطابق است. این درحالی است که نام فرستنده نیز با نامی که در امضا آمده فرق دارد و این در مورد آدرس کسب و کارهای قانونی صدق نمیکند. در مثال بالا میبینیم که نامه از آدرس newsletter@ است که شاید برای میلینگ بازاریابی خوب باشد اما به طور قطع برای نامهای با درخواست گرفتن مظنه قیمت نرمال نیست!
معرفی تروجان Agent Tesla
Agent Tesla که با نام Trojan-PSW.MSIL.Agensla توسط راهکارهای ما شناسایی شده است در واقع بدافزاریست قدیمی که اطلاعات محرمانه را سرقت نموده و آن را به اپراتورهای حمله میفرستد. نخست اطلاعات محرمانهای را که در برنامههای مختلف ذخیرهشدهاند شکار میکند: مرورگرها، کلاینتهای ایمیل، کلاینتهای FTP/SCP، پایگاههای داده، ابزارهای مدیریت از راه دور، اپهای ویپیان و چندین مسنجر فوری. با این حال، Agent Tesla همچنین قادر به سرقت دادههای کلیپبورد، ضبط ضربات کلید کیبورد و گرفتن اسکرینشات نیز هست. Agent Tesla همه اطلاعات جمعآوریشده را از طریق ایمیل به مهاجمین ارسال میکند. با این وجود برخی سویههای اصلاحی بدافزار قادرند از طریق مسنجر تلگرام نیز اقدام به انتقال داده کرده یا آن را در وبسایت یا سرور FTP آپلود نمایند.
چطور ایمن بمانیم؟
در حالت ایدهآل، چنین تهدیدهای سایبری را باید در همان فازهای اولیه جلویشان را گرفت- وقتی نامه مخرب به سرور میل سازمان میرسد. شاید چشم غیرمسلح نتواند در نگاه اول آن را تهدید تلقی کند اما اسکنرهای ایمیل معمولاً کاملاً قادرند این امور را بخوبی بر عهده گیرند. از این رو ایده خوبیست اگر با راهکار امنیتی مناسبی از میل سرور خود محافظت کنید. همچنین باید همزمان میزان دانش و آگاهی کارمندان شرکت خود را نیز نسبت به مباحث امنیت سایبری افزایش دهید (برای مثال با استفاده از پلتفرمهای یادگیری آنلاین). برای اینکه ممطئن شوید بدافزارهای ارسالی از سوی مهاجمین اجرا نشدهاند همچنین بایست کامپیوتر کارمندان خود را نیز به لایه محافظتی مضاعفی تجهیز مجهز نمایید.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
