حمله فیشینگ گسترده با استفاده از یک ابزار دسترسی از راه دور مجاز

شرکت مایکروسافت خبر از وقوع یک کمپین فیشینگ با موضوع کووید 19 داده است که ابزار مدیریت راه دور “NetSupport Manager” را بر روی سیستم قربانیان خود نصب می‌کند.

تیم اطلاعات امنیتی مایکروسافت در اطلاعیه جدید خود توضیح داده است که این کمپین فیشینگ گسترده، از طریق فایل‌های ضمیمه مخرب اکسل گسترش پیدا می‌کند. این حمله با ایمیل‌هایی آغاز می‌شود که وانمود شده از طرف مرکز غیردولتی “Johns Hopkins” ارسال می شوند و حاوی خبری در رابطه با تعداد تلفات ویروس کرونا در آمریکا است.

نمونه‌ای از این ایمیل فیشینگ

در این حمله فیشینگ، یک فایل اکسل با نام “covid_usa_nyt_8072.xls” به ایمیل ارسالی به مخاطبان پیوست شده است که بعد از باز شدن آن توسط کاربر، نموداری حاوی تعداد کشته‌های ویروس کرونا در آمریکا را بر اساس اطلاعات به دست آمده از نیویورک تایمز نمایش می دهد.

فایل اکسل مخرب ضمیمه ایمیل

از آنجا که این سند حاوی ماکروهای مخرب است، برای نمایش محتویات خود از کاربر درخواست فعال کردن محتوا را می کند (‘Enable Content’). در صورت کلیک بر روی این هشدار، ماکروهای مخرب اجرا شده و نسخه کلاینتی نرم افزار NetSupport Manager از یک وب سایت دانلود شده و روی سیستم کاربر نصب می شود.

در توئیتی که شرکت مایکروسافت منتشر کرده  است، آمده که: «در صدها فایل اکسل در این کمپین، از فرمول‌هایی به شدت مبهم استفاده شده است اما همه آنها برای دانلود پی‌لود به یک URL مشابه متصل می‌شوند. مهاجمان بارها از NetSupport Manager برای دسترسی از راه دور و اجرای فرمان بر روی سیستم‌های آلوده استفاده کرده‌اند».

NetSupport Manager یک ابزار مدیریتی راه دور است که هکرها هم از آن به عنوان روشی جهت دسترسی از راه دور به سیستم‌های کاربران استفاده می‌کنند. با نصب این نرم افزار، مهاجم کنترل کاملی بر روی سیستم آلوده خواهد داشت و می‌تواند فرمان‌های مورد نظرش را از راه دور اجرا کند.

در این حمله خاص، کلاینت NetSupport Manager به صورت فایل dwm.exe در یک پوشه تصادفی (%AppData%) ذخیره شده و راه‌اندازی می‌شود.

از آنجا که این ابزار مدیریت از راه دور به شکل یک فایل اجرایی معتبر و مجاز Desktop Windows Manager درآمده است، ممکن است از نظر کاربرانی که Task Manager را بررسی می‌کنند، مشکوک به نظر نرسد.

اجرای Netsupport Manager به صورت DWM.exe

سپس بعد از گذشت مدت زمانی از اجرای موفق آمیز این حمله، از NetSupport Manager RAT برای آلوده کردن هر چه بیشتر رایانه قربانی از طریق نصب سایر ابزارها و اسکریپت‌ها استفاده می‌شود.

طبق توضیحات مایکروسافت: «NetSupport Manager RAT مورد استفاده در این کمپین، منجر به نصب اجزای مختلفی می‌شود؛ از جمله چند فایل .dll، .ini و فایل‌های .exe دیگر، یک VBScript و اسکریپت پاورشلی مبتنی بر PowerSploit که مبهم سازی شده است. همچنین این ابزار به یک سرور C2 متصل شده و به مهاجمان امکان اجرای فرمان‌های بیشتر را می دهد».

هر فردی که هدف این حمله قرار گرفته است باید چنین نگرشی داشته باشد که اطلاعات او افشا شده و مهاجمان تلاش داشته‌اند کلمه های عبور وی را سرقت کنند. همچنین ممکن است آنها از سیستم آلوده کاربر به منظور نفوذ در شبکه هم استفاده کرده باشند. بنابراین پس از پاک سازی سیستم آلوده باید سریعاً کلمه های عبور را تغییر داده و سایر رایانه های متصل به شبکه را هم برای شناسایی آلودگی‌های احتمالی در آنها بررسی کرد.