کمپین فیشینگ جدید از رزومههای جعلی برای توزیع Quasar RAT استفاده میکند
پژوهشگران Cofense از یک برنامه جدید فیشینگ که نرمافزار مدیریت از راه دور (Quasar Rat) را از طریق پیوستهای رزومه جعلی بر روی سیستمهای ویندوز توزیع میکند، پرده برداشتند. این کمپین فیشینگ از چندین روش ضد آنالیز و اقدامات ضد تشخیص برای استتار وکتورهای آلوده استفاده میکند.
ایمیلهای فیشینگ شامل سند مخرب مایکروسافت ورد هستند که خود را در پوشش سند رزومه محافظت شده رمز عبور، پنهان میکنند.
ایمیل فیشینگ کاربران را ترغیب میکند که با وارد کردن رمز عبور 123، رزومه را باز کنند.
پس از وارد کردن رمزعبور، پرونده رزومه جعلی از کاربران میخواهد ماکروها را فعال کنند تا روند آلودگی را آغاز کنند. این ماکروها برای خراب کردن ابزارهای آنالیز طراحی شدهاند. پس از اجرای موفقیت آمیز ماکرو، مجموعهای از تصاویر نمایش داده میشود که که ادعا میکنند محتوا درون آنها قرار گرفته است. این در حالی است که تصاویر در پیش زمینه مشغول اجرای Quasar RAT هستند.
گام مهمی که هکرها برای جلوگیری از شناساسیی شدنشان انجام میدهند، بارگیری یک نسخه قابل اجرا از Microsoft Self Extracting است. سپس یک باینری Quasar RAT که 401 مگابایت است را باز میکند.