سه دراپر برتر تسهیل کننده کار بدافزارها در کمپینهای سال ۲۰۲۲
اخبار داغ فناوری اطلاعات و امنیت شبکهپژوهشگاه FortiGuard تعداد رو به رشدی از دراپرهای فعال را در سه ماهه دوم سال ۲۰۲۲ مشاهده و بررسی کرده است. این دراپرها شامل Microsoft Excel، شرتکات ویندوز و فایل هایایمیج ISO هستند که از طریق روشهای مختلف پخش میشوند.
دراپرها چه میکنند؟
در این سه ماهه، محققان سه نمونه مختلف را شناسایی و تجزیه و تحلیل کردند. اولی یک فایل اکسل با ماکروهای Excel 4.0، دومی یک فایل LNK و سومی یک فایل ISO (optical disk image) است.
فایل اکسل به همراه نمونه ماکروهای Excel 4.0 از سال گذشته بیشتر در کمپینهای Emotet استفاده شده است.
فایل LNK برای اشاره به یک هدف خاص ایجاد شده است. با دوبار کلیک کردن روی فایل میانبر، هدف اجرا میشود.
فایل ISO یک فایل بایگانی است که مهاجمان یک فایل DLL بدافزار و یک فایل LNK مخرب را در آن ذخیره میکنند.
مکانیسم استقرار آنها
محققان متوجه شدند که این نمونههای دراپر از ایمیلهای فیشینگ همراه با مهندسی اجتماعی برای فریب قربانیان برای بارگذاری بدافزار در دستگاههای قربانیانشان استفاده میکنند.
گاهی اوقات ایمیلها حاوی یک ZIP محافظت شده با رمز عبور به عنوان پیوست هستند که دراپرها را با خود حمل میکنند.
در برخی موارد، ایمیلها با پیوست فایل HTML همراه بوده و وقتی که باز شود، این پیوست دراپر را استخراج میکند.
گاهی اوقات، ایمیلها یک لینک مستقیم در ساختار خود داشتند که منجر به دانلود دراپر در دستگاه قربانی میشد.
مسیرهای حمله
دراپرها به سه طریق، از طریق ایمیلهای فیشینگ پخش میشوند. یک پیوست ZIP محافظت شده با رمز عبور، یک پیوست فایل HTML، و یک متنایمیل که پیوندی برای دانلود دراپر دارد.
ارتباط گروههای بدافزار با دراپرها
خانواده بدافزارهای رایج مورد استفاده در این نمونهها شامل Emotet، Qbot و IcedID هستند.
علاوه بر این، محققان لودر بدافزار Bumblebee را در داخل برخی از فایلهای ISO شناسایی کردهاند.
نتیجهگیری
یافتههای اخیر نشان میدهد که مجرمان سایبری تا چه حد به طور فعال از انواع دراپرها بر اساس نیاز خود استفاده میکنند. بنابراین، به کاربران پیشنهاد میشود که یک محافظ درگاهایمیل را مستقر کرده و به کارمندان در مورد شناسایی ایمیلهای فیشینگ آموزش کافی را بدهند. داشتن راه حلهای ضد بدافزار با توانایی تشخیص مبتنی بر رفتار نیز بسیار توصیه میشود.
برچسب ها: LNK, optical disk image, ISO Image, Bumblebee, دراپر, IcedID, Qbot, Excel 4.0, Macro, ماکرو, campaign, Microsoft Excel, FortiGuard, Dropper, DLL, emotet, HTML, Social Engineering, مهندسی اجتماعی, malware, ایمیل, Cyber Security, حملات سایبری, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری