مایکروسافت امکان سرقت اعتبارات هزاران سازمان را متوقف کرد
تقریباً 100 سازمان در اوایل ماه ژوئیه توسط یک کمپین انتشار کننده هرزنامه که پیلودهای LokiBot را توزیع میکرد، طی یک حمله بزرگ فیشینگ هدفدار، مورد حمله قرار گرفتند.
مهاجمان با تمرکز روی سرقت اعتبارات شرکتهایی از امارات متحده عربی، آلمان و پرتغال، مشاغل مختلف را در سراسر جهان مورد حمله قرار دادند.
بدافزار سرقت اطلاعات Lokibot جزو بدافزارهایی است که در سایتهای مختلف زیرزمینی داد و ستد میشود. این بدافزار، ابزاری است که توسط بازیگران تهدید برای برداشت و سرقت دادههای حساس مورد استفاده قرار میگیرد.
با این حال، به گفته تیم تحقیقاتی مایکروسافت دیفندر ATP که این حمله را مشاهده کرده است، قابلیتهای موجود در مایکروسافت دیفندر ATP حمله را در مراحل اولیه خود شناسایی و خنثی کرده، و از مشتری در برابر آسیب محافظت میکند.”
برای توزیع پیلودهای Lokibot، مهاجمان از ایمیلهای فیشینگ بسیار هدفمند با محتویات اختصاصی برای سازمان هدف استفاده کردهاند.
برای به خطر انداختن سیستم قربانیان، هنگامی که اهداف اسناد فریبنده را باز میکنند، پیوستهای ایمیل فیشینگ، کد مخرب را از طریق وبسایت وردپرسی تحت کنترل هکر، بارگذاری میکنند. در مرحله بعد، آسیبپذیری اجرای کد از راه دور (CVE-2017-11882) در مؤلفه Microsoft Office Equation Editor با استفاده از کد اکسپلویت از راه دور مورد سوءاستفاده قرار گرفته و پس از بهره برداری موفقیت آمیز، بدافزار Lokibot بارگیری و رها میشود.
LokiBot تا حد امکان اطلاعات حساس را جمع آوری میکند، این اطلاعات متعاقباً با درخواست HTTP POST به سرورهای فرمان و کنترل (C2) اپراتورهای بدافزار تحویل داده میشوند.
بدافزار LokiBot به دزدی طیف گستردهای از اعتبارات از جمله رمزهای ورود به ایمیل، اعتبارات FTP و رمزهای عبور ذخیره شده در مرورگر میپردازد.