به گزارش همشهری آنلاین، مهر به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری نوشت: قربانیان این کارزار جدید سایبری ایمیلی را دریافت میکنند که در آن مهاجمان برای افزایش شانس به دام افتادن کاربر، با ادعایی دروغین و با درج نشان واقعی یکی از محصولات امنیتی، کاربر را به باز کردن فایل پیوست آن تشویق میکنند.
اکثر این ایمیلها در قالب پیامهای بازپرداخت، نقل و انتقالات برخط و صورتحسابهایی از این قبیل است.
مهاجمان در پیوست ایمیل فیشینگ و در فایل ارسالی به این بهانه که حاوی اطلاعات شخصی است از قربانی میخواهند برای وارد کردن رمز درجشده در متن ایمیل و رمزگشایی آن، قابلیت ماکرو را در نرمافزار Word فعال کنند.
در مراحل بعدی، ماکرو اقدام به اجرای فرامینی میکند که در نتیجه آنها با بهکارگیری پروسه معتبر PowerShell یک ابزار دسترسی از راه دور روی سیستم نصب و ماندگار میشود. ابزار نصبشده نسخهای از NetSupport Manger گزارش شده است.
NetSupport Manger یک ابزار معتبر دسترسی از راه دور است که معمولاً کارکنان بخش فناوری اطلاعات سازمانها برای اتصال از راه دور به سیستمها استفاده میکنند.
مهاجمان با اجرای NetSupport Manger اهداف مخربی را دنبال میکنند، اما با توجه به معتبر بودن این ابزار، محصولات امنیتی و ضدویروس نسبت به آن به عنوان یک بدافزار واکنش نشان نمیدهند. احتمالا مهاجمان از نسخهای موسوم به کرک استفاده میکنند و از کانالهای قانونی آن را میخرند.
پایگاه اینترنتی ZDNet نوشته است: هنوز مشخص نیست انگیزه اصلی مهاجمان از اجرای این کارزار چیست. ممکن است این افراد قصد سرقت فوری اطلاعات را داشته باشند یا در برنامهای درازمدت برای رصد ایمیلهای ورودی و خروجی روی سیستم آلوده و شناسایی مخاطبان قربانیان را داشته باشند تا براساس اطلاعات استخراجشده، حملات هدفمند فیشینگی را برای هک حسابهای کاربری قربانیان انجام دهند.
کارشناسان معاونت بررسی مرکز افتا میگویند: از آنجا که موفقیت این کارزار به استفاده از بخش ماکرو در مجموعه نرمافزاری Office بستگی دارد، توصیه میشود این قابلیت در حالت دائماً غیرفعال قرار داده شود.
مرکز افتا همچنین از کاربران خواسته است در باز کردن ایمیلهای ارسالی از سوی فرستندگان ناآشنا بهخصوص در زمانی که در آنها از موارد اضطراری صحبت میشود بسیار محتاطانه عمل کنند.