اخیرا کمپین اسپم های مخربی با عنوان جعلی خدمات پستی و تحویل US پیدا شده است که نوعی از باج افزار Cryptomix به نام Mole می باشد و در حال حاضر چندین بار از زمان کشف آن در اوایل این ماه تاکتیک های خود را تغییر داده است.
طبق نظر کارشناسان ممکن است بخشی از یک طرح اسپم که قبلا توسط نرم افزار Malwarebytes گزارش داده شده است باشد.
این کمپین برای اولین بار در 11 آوریل شناسایی شده است. در این زمان، ایمیل های اسپم شامل لینک هایی از Google Docs است که قربانی را به یک سایت مایکروسافت ورد آنلاین هدایت می کند و از آن میخواهد تا یک پلاگین مایکروسافت آفیس دانلود و نصب کند. در واقع، این پلاگین یک باج افزار مبتنی بر ویندوز شناخته شده با عنوان Mole است.
دو روز بعد، در تاریخ 13 آوریل، مجرمان سایبری بدافزارهایی با نام های مستعار Kovter و Miuref Boaxxe به کمپین اضافه کردند. همچنین، صفحات مایکروسافت ورد آسیب دیده توزیع کننده بدافزاری در قالب یک فایل فشرده که شامل کد جاوا اسکریپت دانلود Nemucod می باشد، است. Nemucod به نوبه خود، تولید کننده باج افزارهای Mole می باشد. پس از آن مهاجمان استفاده از لینک های هدایت کننده در اسپم های مخرب را متوقف کرده و به جای آن از لینک مستقیمی به سایت آنلاین جعلی استفاده می کنند.
ایمیل های اسپم USPS تلاش می کنند تا فوریت و مهم بودن خواندن ایمیل را به کاربر القا کنند و این کار را با استفاده از موضوعاتی که بنظر مهم برسند مانند IMPORTANT USPS REFUND INFO ، مشکلات عمده ای که به تیم پشتیبانی USPS گزارش داده می شوند و سفارش شما به تاخیر افتاده است و … انجام می شود. نوشتن دانکن از محققین SANS به این موضوع اشاره کرده است که نمونه باج افزار Mole مورد مطالعه ی آن در یک محیط مجازی یا sandbox اجرا نمی شوند.
در 10 آوریل، Malwarebytes کمپین اسپمی را گزارش داده است که USPS را جعل کرده و با استفاده از Nemocod باعث انتشار بدافزارهایی مانند Nymaim، Kovter و Miuref می شود.
در 18 آوریل، این کمپین به طور چشمگیری شیوه ی خود را عوض کرد، به عنوان مثال باج افزارهای Mole که در خدمت تروجان بانکی KINS در کنار Kovter و Miuref است، کاهش یافت. همچنین در 21 آوریل، این کمپین جعل USPS را متوقف نموده و به جای آن ، از یک وب سایت خدمات پارکینگ جعلی استفاده می کند.
منبع : www.scmagazine.com
