تهدیداتخبر

مایکروسافت امکان سرقت اعتبارات هزاران سازمان را متوقف کرد

تقریباً ۱۰۰ سازمان در اوایل ماه ژوئیه توسط یک کمپین انتشار کننده هرزنامه که پی‌لود‌های LokiBot را توزیع می‌کرد، طی یک حمله بزرگ فیشینگ هدف‌دار، مورد حمله قرار گرفتند.

مهاجمان با تمرکز روی سرقت اعتبارات شرکت‌هایی از امارات متحده عربی، آلمان و پرتغال، مشاغل مختلف را در سراسر جهان مورد حمله قرار دادند.

بدافزار سرقت اطلاعات Lokibot جزو بد‌افزار‌هایی است که در سایت‌های مختلف زیرزمینی داد و ستد می‌شود. این بد‌افزار، ابزاری است که توسط بازیگران تهدید برای برداشت و سرقت داده‌های حساس مورد استفاده قرار می‌گیرد.

با این حال،‌ به گفته تیم تحقیقاتی مایکروسافت دیفندر ATP که این حمله را مشاهده کرده است، قابلیت‌های موجود در مایکروسافت دیفندر ATP حمله را در مراحل اولیه خود شناسایی و خنثی کرده، و از مشتری در برابر آسیب محافظت می‌کند.”

برای توزیع پی‌لود‌های Lokibot، مهاجمان از ایمیل‌های فیشینگ بسیار هدفمند با محتویات اختصاصی برای سازمان هدف استفاده کرده‌اند.

برای به خطر انداختن سیستم قربانیان، هنگامی که اهداف اسناد فریبنده را باز می‌کنند، پیوست‌های ایمیل فیشینگ، کد مخرب را از طریق وب‌سایت وردپرسی تحت کنترل هکر، بارگذاری می‌کنند. در مرحله بعد، آسیب‌پذیری اجرای کد از راه دور (CVE-2017-11882) در مؤلفه Microsoft Office Equation Editor با استفاده از کد اکسپلویت از راه دور مورد سوءاستفاده قرار گرفته و پس از بهره برداری موفقیت آمیز، بدافزار Lokibot بارگیری و رها می‌شود.

 LokiBot تا حد امکان اطلاعات حساس را جمع آوری می‌کند، این اطلاعات متعاقباً با درخواست HTTP POST به سرورهای فرمان و کنترل (C2) اپراتورهای بدافزار تحویل داده می‌شوند.

بدافزار LokiBot به دزدی طیف گسترده‌ای از اعتبارات از جمله رمزهای ورود به ایمیل، اعتبارات FTP و رمز‌های عبور ذخیره شده در مرورگر می‌پردازد.

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

19 − 10 =

دکمه بازگشت به بالا
بستن
بستن