هرزنامه‌هایی که با عنوان تأیید پرداخت از طرف یک شرکت هواپیمایی Delta (دلتا) برای کاربران ارسال می‌شود، در حال توزیع تروجان‌های بانکی و مالی است. به گفته محققان امنیتی این بدافزار تلاش می‌کند تا به اطلاعات مالی قربانیان دست‌یابد. به گفته محققان بهترین زمان برای راه‌اندازی چنین پویشی، ایام تعطیل سال است، چون بلیط‌ هواپیما در این ایام برای مسافرت‌ها بیشتر تخفیف می‌خورند.


هرزنامه‌هایی که با عنوان تأیید پرداخت از طرف یک شرکت هواپیمایی Delta (دلتا) برای کاربران ارسال می‌شود، در حال توزیع تروجان‌های بانکی و مالی است. به گفته محققان امنیتی این بدافزار تلاش می‌کند تا به اطلاعات مالی قربانیان دست‌یابد. به گفته محققان بهترین زمان برای راه‌اندازی چنین پویشی، ایام تعطیل سال است، چون بلیط‌ هواپیما در این ایام برای مسافرت‌ها بیشتر تخفیف می‌خورند.

گفته می‌شود این ایمیل‌های فیشینگ طوری طراحی شدند که قربانی را کنجکاو می‌کنند. در این ایمیل اطلاعاتی در مورد بلیط و پرواز نیست، در صورتی که باید چنین چیزی وجود داشت. در ایمل صرفاً یک پیوند وجود دارد که کاربر ترغیب می‌شود بر روی آن کلیک کند؛ با این‌حال اگر فرد دقیقی باشید و به فرستندۀ آن دقت کنید، متوجه می‌شوید که نام ارسال‌کننده نیز به شکل deltaa@ به جای @delta.com آمده که در واقع این آدرس اشتباه می‌باشد. همچین اگر شما مشتری دائمی شرکت هواپیمایی Delta باشید متوجه خواهید شد که این ایمیل با آنچه که واقعاً باید باشد، متفاوت است.



پلی به سمت بدافزارهای بیشتر:
منطق پشت پرده این پویش این است که شما مشکوک شوید که کسی اطلاعات مالی شما را به سرقت برده و با استفاده از آن یک بلیط مسافرتی خریده است. با این حال، باید به این مسئله توجه کنید اگر هم چنین اتفاقی رخ داده باشد، چرا باید شما رسید آن‌را در ایمیل خود دریافت کنید؟ با تمامی این اوصاف، شما کنجکاو می‌شوید که بر روی پیوندها کلیک کنید و نمی‌دانید در آینده قرار است چه تاوان سنگینی را بپردازید.



پیوندهای موجود در ایمیل، قربانی را به سمت وب‌گاه‌های جعلی هدایت می‌کند که بر روی آن یک پرونده مخرب Word میزبانی شده و با استفاده از آن سامانۀ قربانی به بدافزار Hancitor آلوده می‌شود. این بدافزار یک پرونده‌ مخرب همه‌کاره است که معمولاً در بسیاری از حملات فیشینگ مورد استفاده قرار می‌گیرد.

همچنین Hancitor نام‌های دیگر نظیر Chanitor یا TorDal نیز دارد و در واقع یک بدافزار از نوع دانلودر می‌باشد که تقریباً از سال 2014 پدیدار شده است. دانلودرها پس از استقرار در سیستم قربانی، با سرورهای C2 خود تماس برقرار می‌کنند و تروجان‌ها، بات‌ها و انواع دیگر از بدافزارها را دانلود و نصب می‌کنند.



این دانلودر خاص سه قابلیت اساسی دارد:
1. دانلود فایل exe از یک url و اجرای آن
2. دانلود یک DLL از یک url و اجرای آن بدون نوشتن آن روی دیسک و در عوض نوشتن آن مستقیماً روی فضای حافظه دانلود
3. حذف خودش

هر یک از دستورات فوق ممکن است پس از ارسال یک درخواست http post به سرور C2 از طرف دانلودر، دریافت شوند. این درخواست شامل اطلاعات شناسایی منحصربه‌فرد قربانی است و مهاجم را قادر می‌سازد تا به‌ سادگی قربانیان را کنترل کند.



وقتی بدافزار بر روی سامانه شما نصب شد، مانند پلی برای نصب بدافزارهای دیگر عمل می‌کند. بدافزارهای دیگری که نصب می‌شوند متعلق به خانواده‌ Pony هستند که برای سرقت اطلاعات حساس مانند اطلاعات مالی و گذرواژه‌ها مورد استفاده قرار می‌گیرند. بدافزار دیگری که نصب می‌شود Zloader نام دارد که یک بدافزار بانکی است و اطلاعات بانکی شما را به سرقت برده و حساب شما را خالی می‌کند. در ضمن، اگر فایل Word بدخواهانه را دانلود کرده و آن‌را باز کنید،Hancitor فرایندهای سیستم قانونی را در کامپیوتر شما با استفاده از کد PowerShell فعال و آلوده خواهد کرد، پس از آن کامپیوتر شما به یک یا چند سرویس فرمان و کنترل (C&C) متصل خواهد شد.

ترجمه: وحید ذبیح‌اله‌نژاد
منبع:
سایبر سکیوریتی


https://www.cyberpolice.ir/news/123251