پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

ارسال میلیون ها ایمیل در کمپین باج افزاری LockBit Black توسط بات نت ها

تیتر مطالب

از ماه آپریل، میلیون‌ها ایمیل فیشینگ از طریق بات‌نت Phorpiex برای اجرای کمپین باج‌افزاری LockBit Black در حجم وسیع ارسال شده است.

محققین امنیتی هشدار داده اند، مهاجمان از پیوست‌های ZIP حاوی یک فایل اجرایی استفاده می‌کنند که LockBit Black را مستقر کرده و در صورت راه‌اندازی، سیستم‌های هدف را رمزگذاری می‌کند.

احتمالا رمزنگار LockBit Black که در این حملات استفاده شده است با استفاده از LockBit 3.0 ساخته شده است با این حال، تصور نمی شود که این کمپین وابستگی ای به عملیات باج افزار LockBit داشته باشد.

این ایمیل های فیشینگ با موضوعاتی نظیر your Documnet یا Photo of ypu با استفاده از نامهای مستعار “Jenny Brown” یا “Jenny Green” از بیش از 1500 آدرس IP منحصر به فرد در سراسر جهان از جمله قزاقستان، ازبکستان، ایران، روسیه و چین ارسال می شوند.

زنجیره حمله زمانی شروع می شود که گیرنده ایمیل فایل ضمیمهZIP مخرب را باز کرده و باینری داخل آن را اجرا کند.

این فایل اجرایی سپس یک نمونه باج افزار LockBit Black را از زیرساخت بات نت Phorphiex دانلود کرده و آن را در سیستم قربانی اجرا می کند. پس از راه‌اندازی آن، سعی می‌کند داده‌های حساس را دزدیده، سرویس‌ها را خاتمه داده و فایل‌ها را رمزنگاری کند.

اگر چه این رویکرد تازه ای نیست اما حجم انبوه ایمیل های مخرب ارسالی و باج افزاری که برای اولین بار استفاده می شود، حتی با وجود پیچیدگی کم نسبت به سایر حملات، آن را متمایز می کند.

 

بات نت Phorpiex (که با عنوان Trik نیز شناخته می شود) بیش از یک دهه است که فعال بوده است. این بات نت از یک worm که از طریق حافظه USB  و  پیام های Skype یا Windows Live Messenger گسترش می یافت، به یک تروجان کنترل شده با IRC که از طریق ایمیل های اسپم های گسترش می یابد، تکامل یافته است.

پس از رشد بات نت مذکور و آلوده شدن بیش از 1 میلیون دستگاه پس از سال ها فعالیت و توسعه ، اپراتورهای بات نت پس از خاموش کردن زیرساخت Phorpiex اقدام به فروش کد منبع بدافزار را در یک انجمن هک، کردند.

بات‌نت Phorpiex همچنین برای ارسال میلیون‌ها ایمیل اسپم (بیش از 30000 ایمیل در ساعت) استفاده شده است و اخیراً از یک ماژول سرقت کلیپ‌بورد برای جایگزینی آدرس‌های کیف پول ارزهای دیجیتال کپی شده در کلیپ‌بورد ویندوز با آدرس‌های کنترل‌شده توسط مهاجمان نیز استفاده می کند.

در عرض یک سال پس از افزودن این قابلیت، اپراتورهای این بات نت 969 تراکنش و 3.64 بیت کوین (172300 دلار)، 55.87 اتر (216000 دلار) و 55000 دلار توکن ERC20 را به سرقت بردند.

برای محافظت در برابر حملات فیشینگ که باج‌افزارها را گسترش می‌دهند، محققین اجرای استراتژی‌های کاهش خطر باج‌افزار (مانند رمزنگاری فایل ها، تهیه فایل بکاپ و …) و استفاده از راه‌حل‌های امنیتی اندپوینتها و راه‌حل‌های فیلتر ایمیل (مانند فیلترهای هرزنامه) را برای مسدود کردن چنین کمپین های مخرب بالقوه ای توصیه می‌کنند.

 

منبع:

bleepingcomputer.com