مهاجمان در کارزاری سایبری با استفاده از نسخه جدیدی از یک جاسوس‌افزار قدیمی اقدام به سرقت اطلاعات از صدها شرکت کرده‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار Separ داده‌های ثبت ورود (Login) را از مرورگرها و نرم‌افزارهای مدیریت‌کننده ایمیل استخراج کرده و به همراه مستندات و تصاویر با پسوندهای خاص به مهاجمان ارسال می‌کند.

مهاجمان این کارزار از ایمیل‌های فیشینگ هدفمند (Spear-phishing) که کدهایی مخرب در قالب فایل PDF به آن‌ها پیوست شده به‌منظور رخنه به سیستم‌ها و آلوده‌سازی آن‌ها به بدافزار بهره می‌گیرند.

کارزار مذکور موجب آلودگی حداقل ۲۰۰ دستگاه در حدود ۱۰ کشور شده است. تقریباً ۶۰ درصد از این قربانیان شرکت‌هایی در کره جنوبی هستند که در حوزه مهندسی، ساخت‌وساز، فولاد، مواد شیمیایی و ساخت لوله و شیرآلات فعالیت دارند. از جمله آن‌ها یک شرکت سازنده تجهیزات زیرساخت حیاتی است که پیمانکار کارخانجات شیمیایی، ارائه‌دهندگان تجهیزات توزیع و انتقال برق و شرکت‌های فعال در حوزه انرژی‌های تجدیدپذیر است.

تایلند و چین به‌ترتیب با ۱۲,۹ و ۵.۹ درصد در جایگاه‌های دوم و سوم کشورهای آلوده به کارزار مذکور قرار دارند. ژاپن، اندونزی، ترکیه، اکوادور، آلمان و انگلیس دیگر قربانیان این حملات هستند.

ایمیل‌های فیشینگ ارسالی از سوی این مهاجمان به نحوی کاملاً خاص و حرفه‌ای، ویژه هر هدف طراحی شده است. در یکی از آن‌ها این طور وانمود شده که ارسال‌کننده کارمند یکی از شرکت‌های تابعه زیمنس است و درخواست پیشنهاد قیمت برای طراحی نیروگاهی در جمهوری چک را دارد. در پیوست پیام ارسالی، نمودار و مقاله‌ای فنی (که البته به‌صورت عمومی در اینترنت نیز قابل دسترس است) در خصوص نحوه راه‌اندازی یک پالایشگاه تولید بنزین به چشم می‌خورد.
یا در یک درخواست پیشنهاد قیمت جعلی دیگر، مهاجم به ساخت یک نیروگاه ذغال سنگ در اندونزی اشاره کرده و تظاهر می‌کند که از بخش مهندسی یک شرکت صاحب‌نام خوشه‌ای در ژاپن ایمیل ارسال شده‌است.
همان‌طور که اشاره شد بدافزار به‌کار گرفته شده در این کارزار جاسوس‌افزاری با نام Separ است که اولین نسخه از آن در سال ۲۰۱۳ شناسایی شد. در اوایل سال میلادی جاری نیز نسخه‌ای جدید از این بدافزار مورد استفاده گروهی از مهاجمان قرار گرفته بود. با این حال، نسخه بکار رفته در جریان این کارزار نسخه‌ای تکامل یافته از Separ است.

این بدافزار از قابلیت Autorun برای ماندگار کردن خود بعد از راه‌اندازی سیستم استفاده کرده و از ابزارهایی که بسیاری از آنها به‌صورت عمومی قابل دسترس‌اند ازجمله موارد زیر بهره برده‌است:
• Browser Password Dump v۶,۰ by SecurityXploded
• Email Password Dump v۳,۰ by SecurityXploded
• NcFTPPut ۳,۲.۵ – Free FTP client
• The LaZagne Project (password dumper)
• deltree (folder delete)
• Command Line Process Viewer/Killer/Suspender for Windows NT/۲۰۰۰/XP V۲,۰۳
• MOVEit Freely ۱,۰.۰.۱ – Secure FTP Client
• Sleep tool by tricerat

پس از نصب، بدافزار اطلاعات احرازهویت مرورگرها و نرم‌افزارهای مدیریت‌کننده ایمیل را سرقت کرده و اقدام به جستجو و شناسایی اسناد بالقوه بااهیمت برای مهاجمان بر اساس پسوند آنها می‌کند. تمامی داده‌های جمع‌آوری شده با استفاده از پودمان FTP به یک سرویس‌دهنده رایگان میزبانی وب به نشانی freehostia[.]com ارسال می‌شود.