فیسبوک و یوتیوب قلب تپنده یک کمپین فیشینگ
پروفایلهای فیسبوک و یوتیوب در قلب یک کمپین فیشینگ در حال گسترش قرار گرفته که تروجان اَستاروت Astaroth را پخش کرده، و به تدریج اطلاعات حساس را به سرقت میبرد. این حمله به این دلیل پیچیده و پیشرفته است که از منابع معمولی قابل اعتماد به عنوان پوشش فعالیتهای مخرب خود استفاده میکند – بنابراین از این امر معمولاً برای فرار کردن از لایههای امنیتی ایمیل و شبکه استفاده میشود.
به گفته آرون رایلی، محقق شرکت Cofense، حمله با پرونده HTM پیوست شده به یک ایمیل آغاز میشود. وی در تحلیل این حمله اظهار داشت که نامههای الکترونیکی در سه قالب ارایه میشوند – در قالب فاکتور، در قالب بلیط نمایش و در قالب دعوای مدنی.
اگر هدف روی پیوست کلیک کند، پرونده .HTM یک بایگانی ZIP. را که حاوی یک پرونده LNK. مخرب است، بارگیری میکند. سپس فایل .LNK کد جاوا اسکریپت را از دامنه یک کارمند Cloudflare بارگیری میکند، که به نوبه خود چندین فایل را که برای کمک به پنهان کردن و اجرای نمونهای از دزدی اطلاعات Astaroth بارگیری میشود.
در بین پروندههای بارگیری شده، دو پرونده DLL. وجود دارد که به یکدیگر وصل شده و در یک برنامه قانونی با نام C:\Program Files\Internet Explorer\ ExtExport.exe بارگذاری شدهاند. “استفاده از یک برنامه قانونی برای اجرای کد مخرب دو قسمتی که از یک منبع قابل اعتماد بارگیری شده است، به دور زدن اقدامات امنیتی مانند آنتی ویروس (AV)، لیست سفید برنامهها و فیلتر URL کمک میکند.
پس از اجرای ExtExport.exe و بارگیری کد مخرب، اسکریپت از تکنیکی موسوم به “فرآیند توخالی” استفاده میکند تا یک برنامه قانونی را با کدهای مخرب تر آلوده کند.
از فرآیند توخالی برای تزریق کدهای مخرب بازیابی شده از چندین فایل بارگیری شده توسط جاوا اسکریپت قبلی استفاده میشود. پس از خاتمه روند برنامه مورد اعتماد و جایگزین کردن کد مخرب، Astaroth شروع به بازیابی داده های پیکربندی فرمان و کنترل (C2) از منابع قابل اعتماد خارج میکند.
این بدافزار به طور خاص، از پروفایلهای یوتیوب و فیسبوک برای میزبانی و نگهداری داده های پیکربندی C2 استفاده میکند.
پس از اینکه اطلاعات C2 جمع آوری شد، Astroth که حداقل از سال 2017 اطلاعات حساس را سرقت میکند، اقدام به جمع آوری اطلاعات مالی، گذرواژههای ذخیره شده در مرورگر، اعتبار مشتری ایمیل، اعتبار SSH و موارد دیگر میکند، همه این موارد از طریق HTTPS POST به یک سایت میزبانی شده در Appspot، ارسال میشود.
این کمپین ویژه با ایمیلهایی که به زبان پرتغالی نوشته شده است، به طور انحصاری کاربران برزیلی را هدف قرار میدهد.