روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اوایل ماه آوریل، متخصصین کسپرسکی کمپین ایمیل انبوهی را کشف کردند که کارش ارسال پیام با پیوست پی‌دی‌اف مخرب بود. هدف اصلی مهاجمین، شرکت‌ها هستند: داکیومنتی خطرناک به مکاتبات کاری پیوست می‌شود (ما ایمیل‌هایی را دیدیم که به زبان‌های انگلیسی، آلمانی، ایتالیایی و فرانسوی نوشته شده بودند). کمپین مذکور قصد دارد با بدافزاری به نام QBot که البته با نام‌های QakBot،  QuackBot یا Pinkslipbot نیز شناخته شده است کامپیوترهای قربانیان را آلوده کند. جالب است بدانید که حدود یک سال پیش متخصصین ما افزایش ناگهانی مشابهی را در جریان ایمیل‌هایی مشاهده کردند که بدافزار تحویل می‌دادند (از بین این بدافزارها QBot هم دیده شده بود).

از دریچه نگاه قربانی این حمله به چه شکل است؟

این حمله بر پایه تاکتیک‌های «سرقت مکالمه[1]» است. هکرها به مکاتبه اصلی اداری دسترسی پیدا می‌کنند (از بین سایر بدافزارهای دیگر، QBot ایمیل‌های ذخیره‌شده به صورت لوکال را از کامپیوترهای قبلیِ قربانی‌ها سرقت می‌کند) و به دیالوگ ملحق شده پیام‌ها را طوری ارسال می‌کنند که انگار دارند مکالمه قدیمی را پیش می‌برند. ایمیل‌ها به این صورت هستند که قربانی‌ها مجاب می‌شوند فایل پی‌دی‌اف پیوستی را باز کنند؛ آن‌ها خود را جای فهرست هزینه‌ها یا سایر کاغذهای اداری که نیازمند واکنش سریع هستند می‌زنند. در واقعیت، پی‌دی‌اف حاوی نوتیف تقلیدی است از مایکروسافت آفیس 365 یا مایکروسافت آژور. این نوتیف سعی دارد کاری کند تا قربانی روی دکمه Open کلیک کند. اگر قربانی چنین کاری کند، آرشیو محافظت‌شده با پسورد روی کامپیوتر دانلود می‌شود (با پسوردی در متن خود نوتیف). سپس از گیرنده انتظار می‌رود آرشیو را آن‌پک کرده و  .wsf (منظور همان فایل اسکریپت ویندوزی است) داخل آن را اجرا کنند. این اسکریپت آلوده است که از سرور ریموت اقدام به دانلود بدافزار  QBot می‌کند.

 آلودگی QBot به چه چیز منجر خواهد شد؟

متخصصین ما QBot را جزو رده‌بندی تروجان بانکی قرار داده‌اند که به مهاجمین اجازه می‌دهد تا اطلاعات محرمانه (لاگین و پسورد) و کوکی‌ها را از مرورگرها ماین کرده، مکاتبات را سرقت نموده، جاسوسی فعالیت‌های بانکی را کرده و ضربات روی کلیدهای کیبورد را ضبط کند. همچنین مهاجمین با QBot می‌توانند بدافزارهای دیگر را نیز (برای مثال باج‌افزار) نصب کنند.

راهکارهای امنیتی

برای محافظت از شرکت خود در برابر فعالیت‌های شرورانه‌ی مهاجمین توصیه می‌کنیم راهکار امنیت سایبری قابل‌اطمینانی روی همه دستگاه‌هایی که به اینترنت متصلند نصب کنید. همچنین درگاه ایمیل خود را با محصولی تجهیز کنید که قادر باشد ایمیل‌های مخرب، اسپم یا فیشینگ را فیلتر کند. در آخر به منظور قدرت‌دهی به کارمندان خود برای اینکه به طور مستقل ترفندهای مهاجمین را شناسایی کنند توصیه می‌کنیم مرتباً در خصوص تهدیدهای سایبری مدرن بدان‌ها آگاهی دهید و کلاس‌های آموزشی برگزار کنید.

[1] conversation hijacking

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.