محققان چندین نمونه بدافزار مخرب را که از اکسپلوئیت های موجود در Inpage استفاده می کنند کشف کردند.
یک اکسپلوئیت در برنامه واژه پرداز Inpage برای حملات سه نوع بد افزار مورد استفاده قرار گرفته است. این برنامه از زبان هایی مانند اردو، فارسی، پشتو و عربی پشتیبانی می کند.
در تاریخ 2 نوامبر پژو هشگران واحد پالو آلتو سه مقاله حاوی انواع خانواده بد افزار CONFUCIUS_B، یک برنامه رایج شناسایی شده به نام “Biodata” و یک برنامه ناشناخته به نامMY24، را شناسایی و در یک پست وبلاگی منتشر کردند.
سه فایل اکسپلوئیت InPage به هم متصل هستند بسیار شبیه به shellcode و طبق نظر محققان، این بیانگر آن است که یا یک گروه مهاجم پشت این حملات هستند یا همگی به یک سازنده مشترک مرتبط می باشند.
تله های مورد استفاده در سوء استفاده ها نشان می دهد مهاجمان تهدیدکننده اغلب انگیزه سیاسی یا نظامی دارند، از آنجا که محتوای تهدیدات موضوعاتی مانند گزارش های اطلاعاتی و شرایط سیاسی مربوط به هند، منطقه کشمیر یا تروریسم است.
طبق نظر محققان، مهاجمان به ندرت از InPage برای حملات استفاده می کنند و تنها نمونه ای که قبلا دیده شده توسط آزمایشگاه کسپرسکی در سال 2016 ثبت شده برای حمله به موسسات مالی در آسیا استفاده شده است.
کریس مورالس، رئیس تحلیل امنیتی Vectra، به SC Media گفت: InPage Urdu برای صفحه بندی روزنامه ها، مجلات و کتابها در زبان اردو / عربی نوعی ابزار استاندارد است، که اکثر کاربران آن در هند و پاکستان زندگی می کنند.
مورالس گفت: ما این روند را همیشه در حملات هدفمند مشاهده می کنیم. مهاجمان ابتدا اهداف کاری خود را مشخص می کنند، سپس نرم افزارشناسایی را آلوده می کنند، و نهایتا شروع به سرقت اطلاعات می کنند.
ناتان ونزلر رئیس امنیت استراتژیک در Astech در این زمینه با اشاره به اینکه InPage یک نرم افزار کاربردی است گفت جالب است که چگونه اسناد مربوط به یک نوع صنعت مورد هدف قرار می گیرد و این نشان می دهد که این یک حمله فیشینگ است. او ادامه داد: کارمندان باید به یاد داشته باشند که مهم نیست که نام فایل های ارسالی چقدر جذاب یا جالب باشد، مهم این است که کنجکاوی را رها کرده و فایل های ناشناخته را باز نکنید.
منبع : www.scmagazine.com
