محققان به نقل از نتسکوپ (Netskope) گزارش دادند، که مهاجمان با استفاده از تروجان دسترسی از راه دور (RAT) در یکی از حملات اخیر، شرکتهای نفتی را در ایالات متحده هدف قرار داده اند.
نمونههای مشاهده شده در این حملات نسبتاً جدید هستند، اما در مقایسه با حملات قبلی به این شرکتها، عملکرد یکسانی دارند.
این بدافزار تلاش میکند تا خود را در چندین لایه مخفی نگه دارد و پس از آلوده سازی یک دستگاه، رجیستری سیستم را برای دستیابی به پایداری، انجام فرایند، تلاش برای از بین بردن سرویسهای امنیتی و بعد از آن سرقت دادههای حساس تغییر میدهد.
این حمله جدید تبلیغ افزاری از شبکه ارایه دهنده خدمات اینترنتی استرالیا با نام Westnet صورت میگیرد. محققان نتسکوپ معتقدند که مهاجم، یا کاربر Westnet است، یا هکرها یک یا چند حساب Westnet را به خطر انداختند (RATهای یکسان توسط چندین کاربر Westnet میزبانی میشود).
مهاجمان در تلاش برای مخفی کردن پروندهها از کاربر مورد نظر، از چندین پسوند فایل مانند .png.jar.jar استفاده کردهاند. به محض اجرایی شدن پیلود، چندین سطح از JAR استخراج میشود.
تبلیغ افزار یک پلتفرم چند سکویی متقاطع از RAT است که ویندوز، لینوکس و مک را هدف قرار میدهد. این بدافزار میتواند تصاویر وب کم را ضبط کند، هارد دیسک فایلها را بر اساس برنامههای افزودنی در تنظیمات RAT اسکن نموده و به فرایندهای معروف ویندوز تزریق کند، وضعیت سیستم را نظارت کرده و دادههای مسروقه را به صورت رمزگذاری شده به سرور C&C (فرمان و کنترل) متصل کند.
تبلیغ افزار از بدافزارهای شناخته شده است که طی چند سال گذشته در چندین حمله به صورت فعالانه مورد استفاده قرار گرفته است.