از ماه آپریل، میلیونها ایمیل فیشینگ از طریق باتنت Phorpiex برای اجرای کمپین باجافزاری LockBit Black در حجم وسیع ارسال شده است.
محققین امنیتی هشدار داده اند، مهاجمان از پیوستهای ZIP حاوی یک فایل اجرایی استفاده میکنند که LockBit Black را مستقر کرده و در صورت راهاندازی، سیستمهای هدف را رمزگذاری میکند.
احتمالا رمزنگار LockBit Black که در این حملات استفاده شده است با استفاده از LockBit 3.0 ساخته شده است با این حال، تصور نمی شود که این کمپین وابستگی ای به عملیات باج افزار LockBit داشته باشد.
این ایمیل های فیشینگ با موضوعاتی نظیر your Documnet یا Photo of ypu با استفاده از نامهای مستعار “Jenny Brown” یا “Jenny Green” از بیش از 1500 آدرس IP منحصر به فرد در سراسر جهان از جمله قزاقستان، ازبکستان، ایران، روسیه و چین ارسال می شوند.
زنجیره حمله زمانی شروع می شود که گیرنده ایمیل فایل ضمیمهZIP مخرب را باز کرده و باینری داخل آن را اجرا کند.
این فایل اجرایی سپس یک نمونه باج افزار LockBit Black را از زیرساخت بات نت Phorphiex دانلود کرده و آن را در سیستم قربانی اجرا می کند. پس از راهاندازی آن، سعی میکند دادههای حساس را دزدیده، سرویسها را خاتمه داده و فایلها را رمزنگاری کند.
اگر چه این رویکرد تازه ای نیست اما حجم انبوه ایمیل های مخرب ارسالی و باج افزاری که برای اولین بار استفاده می شود، حتی با وجود پیچیدگی کم نسبت به سایر حملات، آن را متمایز می کند.
بات نت Phorpiex (که با عنوان Trik نیز شناخته می شود) بیش از یک دهه است که فعال بوده است. این بات نت از یک worm که از طریق حافظه USB و پیام های Skype یا Windows Live Messenger گسترش می یافت، به یک تروجان کنترل شده با IRC که از طریق ایمیل های اسپم های گسترش می یابد، تکامل یافته است.
پس از رشد بات نت مذکور و آلوده شدن بیش از 1 میلیون دستگاه پس از سال ها فعالیت و توسعه ، اپراتورهای بات نت پس از خاموش کردن زیرساخت Phorpiex اقدام به فروش کد منبع بدافزار را در یک انجمن هک، کردند.
باتنت Phorpiex همچنین برای ارسال میلیونها ایمیل اسپم (بیش از 30000 ایمیل در ساعت) استفاده شده است و اخیراً از یک ماژول سرقت کلیپبورد برای جایگزینی آدرسهای کیف پول ارزهای دیجیتال کپی شده در کلیپبورد ویندوز با آدرسهای کنترلشده توسط مهاجمان نیز استفاده می کند.
در عرض یک سال پس از افزودن این قابلیت، اپراتورهای این بات نت 969 تراکنش و 3.64 بیت کوین (172300 دلار)، 55.87 اتر (216000 دلار) و 55000 دلار توکن ERC20 را به سرقت بردند.
برای محافظت در برابر حملات فیشینگ که باجافزارها را گسترش میدهند، محققین اجرای استراتژیهای کاهش خطر باجافزار (مانند رمزنگاری فایل ها، تهیه فایل بکاپ و …) و استفاده از راهحلهای امنیتی اندپوینتها و راهحلهای فیلتر ایمیل (مانند فیلترهای هرزنامه) را برای مسدود کردن چنین کمپین های مخرب بالقوه ای توصیه میکنند.
منبع:
