حمله چند لایه‌ای ایمیلی: از فاکتور جعلی تا نصب بدافزار جاسوسی!

 اخیراً کمپین ایمیلی جدیدی به نام Ratty شناسایی شده است که در آن بدافزار RAT مبتنی بر جاوا از طریق تکنیک‌های پیشرفته‌ی مخفی‌سازی برای هدف قرار دادن سازمان‌هایی در اسپانیا، ایتالیا و پرتغال توزیع می‌شود.

بنابر گزارش تیم FortiMail، این حملات با سواستفاده از سرویس‌های ارائه‌دهنده ایمیل معتبر، به پیکربندی به‌ عنوان فرستنده‌ مجاز برای چندین دامنه اقدام کرده که ایمیل‌های مخرب ارسال‌ شده از طریق آن با موفقیت از اعتبارسنجی SPF عبور می‌کنند. نفوذگران از چندین راهکار برای مخفی‌سازی منبع حمله از جمله: سوءاستفاده از دو پلتفرم اشتراک‌گذاری فایل (Dropbox و MediaFire)، Geolocation Filtering و استفاده از Ngrok برای ایجاد تونل‌های امن و مبهم‌سازی‌ شده جهت هدایت کاربران به محتوای مخرب بهره می‌برند. این تاکتیک‌ها باعث دشوارتر شدن شناسایی حمله و پنهان ماندن منبع واقعی آن می‌شوند، در نهایت نیز زمینه‌ای برای توزیع بدافزار Ratty فراهم می‌شود. Ratty RAT به‌ دلیل استفاده از جاوا،  قابلیت اجرا بر روی سیستم‌عامل‌های مختلف را دارد، مشروط بر اینکه Java Runtime Environment روی سیستم قربانی نصب شده باشد. اگرچه معمولاً در قالب فایل JAR توزیع می‌شود، اما نفوذگران گاهی آن را در قالب فایل MSI نیز پکیج‌بندی می‌کنند تا قانونی بودن آن را افزایش دهند و از شناسایی فرار کنند.

• پلتفرم‌های آسیب‌پذیر: ویندوز (در درجه اول)، لینوکس و macOS (در صورت نصب جاوا)
• گروه‌های آسیب‌پذیر: کاربرانی که از سیستم‌هایی با Java Runtime Environment (JRE) استفاده می‌کنند.
• تأثیر: به مهاجمان دسترسی از راه دور می‌دهد و آنها را قادر می‌سازد تا دستورات را اجرا کنند، کلیدهای فشرده شده را ثبت کنند، به فایل‌ها دسترسی پیدا کنند، وب‌کم/میکروفون را فعال کنند و سیستم آلوده را به طور کامل کنترل کنند.
• سطح شدت: بالا

https://www.fortinet.com/blog/threat-research/multilayered-email-attack-how-a-pdf-invoice-and-geofencing-led-to-rat-malware