به تازگی یک برنامه جدید فیشینگ (ایمیل) کشف شد که بانکها و شرکتهای مالی را در سراسر ایالات متحده و بریتانیا هدف قرار داده است. این فعالیت از آگوست ۲۰۱۸ عملیاتی شد و هدف از آن آلوده کردن کامپیوترها و نقاط نهایی بوده است.
به گفته محققان Melno Labs، مهاجمان از URLهای مخرب بهجای ضمیمههای مخرب استفاده میکنند. پیلودهای مخرب برای هدف قرار دادن بانکها و شرکتهای مالیای بود که در storage.googleapis.com (یک دامنه بسیار ایمن Google Cloud Storage) ذخیره شده بودند.
ممکن است هکرها با استفاده از این دامنه مورد اعتماد به عنوان راهی برای عبور از کنترلهای امنیتی که توسط سازمانها بهکارگرفته میشوند، بهره بگیرند. محققان Labs Menlo در وبلاگ خود نوشتند که این نمونهای از افزایش استفاده از سرقت اعتبار (reputation-jacking) است که در پشت پرده خدمات میزبانی معروف و خوشنام پنهان شده است تا به اجتناب از ردیابی کمک کند.
طبق نظر محققان، اگرچه اکثر محصولات امنیتی می توانند ضمیمههای مخرب را شناسایی کنند، اما در تشخیص URLهای مخرب ناتوان هستند، مگر اینکه این پیوند مخرب پیش از این در مخازن تهدید آنها وجود داشته باشد.
مهاجمان همچنین از دو نوع پیلود مخرب استفاده کردند تا سیستمهای مورد هدف VBS و فایل های JAR را به خطر بیاندازند. محققان بر این باورند که اسکریپتهای VBS بسیار پیچیده بوده و به احتمال زیاد با استفاده از ابزارهای شنود متن باز به طور گسترده در دسترس مجرمان سایبری قرار میگیرند.
در همین حال، مشخص شد که فایل های JAR با بدافزار Houdini در ارتباط بودهاند. همچنین احتمال داده شده که سایر پروندههای JAR متعلق به خانواده بدافزاری Qrat است.
مراکز ارائهدهنده خدمات مالی همچنان هدف بسیار جذابی برای مهاجمین بوده و تروجان دسترسی از راه دور نقش مهمی در به دست آوردن کنترل سیستمهای یک سازمان ایفا میکنند.