یک کمپین فیشینگ جدید که وانمود میکند فهرست عرضه است، کاربران را با باجافزار MirCop آلوده کرده و یک سیستم هدف را در کمتر از پانزده دقیقه رمزگذاری میکند.
نحوه عملکرد کمپین باجافزاری
روال کار به این شکل است که مهاجمان یک ایمیل ناخواسته به قربانی ارسال میکنند که وانمود میکند یک سفارش ثبت شده از سوی کاربر را پیگیری میکند. متن ایمیل حاوی یک لینک به Google Drive است که در صورت کلیک روی آن، یک فایل MHT (بایگانی صفحه وب) در دستگاه قربانی دانلود میکند.
استفاده از Google Drive برای اعتبار بخشیدن به ایمیلها به کار رفته و به نحو بسیار خوبی میتواند با نیازها و تجارب روزانه کسب و کار هماهنگ گردد. برای عاملان تهدید این موضوع یک انتخاب ساده اما کلیدی است که کاربر بر روی لینک ارسالی کلیک کند و یا آن را به پوشه اسپم خود ارسال نماید.
کسانی که این فایل را باز میکنند، یک تصویر ناواضح را مشاهده خواهند کرد که یک فاکتور فروش ممهور و امضا شده به نظر میرسد و زمانی که فایل MHT دانلود میشود، یک فایل با فرمت RAR را دانلود میکند که حاوی دانلودر بدافزاری میباشد. این فایل فشرده حاوی فایلهای اجرایی است که از اسکریپتهای VBS برای انتقال و اجرای فایلهای بدافزاری MirCop استفاده میکند. باجافزار به سرعت از صفحه اسکرین شات گرفته و فایلها را رمز میکند و با تغییر عکس پس زمینه به عکس یک زامبی، دستورات برای رفتن به مرحله بعدی را به کاربر اعلام میکند.
بر اساس گفته محققان Cofense، تمام این فرآیند در کمتر از 15 دقیقه رخ میدهد. پس از آن نیز کاربر تنها میتواند مرورگرهای خاصی را باز کند که از آن طریق با عامل ارتباط گرفته و باج درخواست شده را پرداخت کند. آنها علاقهای به سرک کشیدنهای مخفیانه و یا ماندن طولانی مدت در سیستم قربانی و یا سرقت اطلاعات حساس ندارند. در مقابل، به سرعت به سیستم هدف حمله کرده و راه رفع این مشکل را نیز به قربانی نشان میدهند.
باج افزاری قدیمی اما خطرناک
MicroCop یک نوع باجافزار قدیمی است که برای درخواست غیر معمول باج به هدف ارسال میشود. محققان Cofense میگویند که همان نوع قدیمی از ماه ژوئن امسال در گردش بوده است، بنابراین MicroCop هنوز در دسترس است و کاربران باید توجه بسیار بالایی را به ایمیلهای خود داشته باشند و از باز کردن هرگونه لینک مشکوک و یا نامطمئن که هیچ شناختی نسبت به منبع ارسال آن ندارند خودداری نمایند.
