مهاجمان راه نفوذی از طریق آسیب پذیری Zero-day یافته اند که می توانند با تغییر نام و پسوند فایل های آلوده جنبه های قانونی تر و معتبرتری به آنها بدهند و به این ترتیب امکان باز کردن فایل توسط کاربرانی که پیغام حاوی بدافزار را دریافت می کنند، افزایش خواهد یافت.
براساس گزارشی که اخیرا کسپرسکی در وبلاگ خود منتشر نموده، این حملات در اکتبر گذشته کشف شده و مهاجمان نیز روسی بوده اند که توانایی دسترسی به سیستم آلوده و نصب Cryptominerها را از راه دور داشتند.
طبق گفته نویسنده و محقق کسپرسکی، الکسی فیرش، بنظر می رسید که تنها مهاجمان سایبری روسی از این آسیب پذیری آگاه بودند با توجه به تمام موارد exploitation که کسپرسکی در روسیه کشف نموده است همچنین با توجه به تحقیقات دقیقی که توسط کسپرسکی انجام شده است، موضوعات بسیاری کشف شد که اشاره به دخالت مجرمان سایبری روسی در این حملات داشته است.
در حالیکه که تلگرام گزارش داد که این موضوع بعد از اعلام کسپرسکی رفع گردیده است، از این راه نفوذ تا مارچ 2017 استفاده شده است.
مخصوصا مهاجمان از کاراکترهای یونیکد خاصی استفاده می کنند ( مثل U+202E) که بتوانند کاراکترهای زبان هایی مثل عربی و فارسی و … را نیز پشتیبانی نماید. این محقق کسپرسکی توضیح می دهد که مهاجمان می تواند به عنوان مثال یک فایل مخرب .js را به عنوان یک فایل بی ضرر عکس با پسوند .png با استفاده از کاراکترهای یونیکد، پسوند فایل اصلی که png.js می باشد را به sj.gnp تغییر می دهد.
گیرندگان پیامی که فایل مخرب را باز می کنند، ناخودآگاه شروع کننده زنجیره ای از آلودگی ها خواهند بود. نتیجه در موارد بررسی شده مشاهده شده ، آلوده شدن سیستم توسط یک دانلودر مبتنی بر .net که از API تلگرام برای برای دریافت دستورات بات نت (نوشته شده به زبان روسی)، که بنظر می رسد برای اهدافی مثل استقرار back doorها، Loggerها و دیگر ابزارهای بدافزاری، استفاده می کند.
برخی از نسخه های Batch script ویزگی های جدیدی دارند و بدین ترتیب می توانند ویژگی های امنیتی ویندوز را غیر فعال نموده و سپس برای دانلود فایل SFX و دیگر فایل های استخراجی و همچنین سیستم مدیریتی کلاینت برای دسترسی از راه دور، به یک سرور FTP مخرب وارد می شود.
منبع : https://www.scmagazine.com/