یک کمپین ایمیل تجاری که از میان شرکتهای مالی قربانی میگیرد از طریق سرویس ذخیرهسازی Google Cloud در حال گسترش بدافزار است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اخیرا کمپین ایمیل تجاری (business email campaign) جدیدی کشف شده که شرکتهای مالی را هدف قرار دادهاست و از طریق سرویس ذخیرهسازی Google Cloud به توزیع بدافزار میپردازد.
پژوهشگران آزمایشگاه Menlo این ایمیلها را شناسایی کردهاند که تمرکز این عملیات روی کارکنان بانکها و شرکتهای خدمات مالی است. در این عملیات از رویکردهای مهندسی اجتماعی و ارسال ایمیلهای فیشینگ استفاده شدهاست تا قربانیان احتمالی وادار به کلیک بر روی لینکهای مخرب و دانلود بدافزار شوند.
این عملیات از ماه اوت سال جاری فعال بوده و به نظر میرسد مهاجمان از Google Cloud Storage که برای اهداف قانونی توسط شرکتهای بیشماری در سراسر جهان مورد استفاده قرار میگیرد، سوء استفاده کردهباشند.
مهاجمان از دامنههای قابل اعتماد به عنوان راهی برای دور زدن کنترلهای امنیتی سازمانها یا تمهیدات امنیتی محصولات تجاری استفاده میکنند. در این عملیات، در پیامها فایلهای مخرب با پسوند zip یا gz ارسال میشوند که در storage.googleapis.com ذخیره شدهاند.
این روش که «سرقت اعتبار» نامیدهمیشود از خدمات محبوب و قانونی برای دور زدن اقدامات امنیتی هنگام پخشکردن بدافزار سوءاستفاده میکند. از ۱۰۰هزار دامنه برتر که توسط الکسا رتبهبندی شدهاست، ۴۶۰۰ دامنه در کلاهبرداریهای فیشینگ با استفاده از خدمات میزبانی قانونی دخیل بودهاند.
برای سختتر کردن تشخیص ایمیلهای فیشینگ، مهاجمان از پیوندهای مخرب به جای فایلهای پیوست استفاده میکنند، زیرا بسیاری از سامانههای امنیتی ایمیل، تنها زمانی پیوندهای مخرب را شناسایی میکنند که در منابع مخرب ثبت شده باشد.
پس از دانلود و اجرا فایل پیوست مخرب توسط قربانی، اسکریپتهای VBS و فایلهای JAR درون پیوست به عنوان انتقالدهنده بدافزار عمل میکنند تا تروجانهایی از خانواده بدافزار Houdini را دانلود و اجرا کنند. هر یک از اسکریپتها با استفاده از Base64 رمزگذاری شدهاند و از طریق دامنه pm۲bitcoin[dot]com با سرور C&C ارتباط برقرار میکنند.
تروجان با دسترسی از راه دور (Houdini (RAT قادر به انتقال در شبکه و حافظههای قابل حمل و همچنین قادر به دانلود و اجرا بدنههای اضافی از سرورهای C&C مانند باجافزارها یا بدافزارهای رمزگذاری اطلاعات است.
این RAT قبلا در حملاتی علیه بخش انرژی نیز شناسایی شدهبود. گوگل نسبت به این عملیات مطلع شده و محتوای حاوی بدافزار را حذف کردهاست.