هشدار مایکروسافت درباره

حملات گسترده فیشینگ با موضوع ویروس کرونا و بهره‌برداری از NetSupport

شرکت مایکروسافت به تازگی از فعالیت یک کمپین فیشینگ با موضوع ویروس کرونا (COVID-19) خبر داده است که ابزار مدیریت کنترل از راه دور NetSupport برای به دست گرفتن کنترل دستگاه‌های قربانیان بهره‌برداری می‌کند.
۰۲ خرداد ۱۳۹۹

براساس گفته‌های تیم امنیت اطلاعات شرکت مایکروسافت، یک کمپین فیشینگ با موضوع ویروس کرونا (COVID-19) از طریق فایل‌های مخرب اکسل که پیوست ایمیل‌ها هستند، ابزار مدیریت کنترل از راه دور NetSupport را در دستگاه‌های قربانیان قرار می‌دهد.

این حمله با یک ایمیل که ظاهرا از طرف مرکز جانز هاپکینز ارسال شده و در آن تعداد مرگ و میرها بر اثر ویروس کرونا آورده شده است آغاز می‌شود. در این ایمیل یک فایل اکسل وجود دارد که هنگام باز شدن جدولی از تعداد مرگ و میرها در ایالات متحده را بر اساس گزارش نیورک تایمز نشان می‌دهد.

از آن‌جایی که این فایل اکسل حاوی ماکروهای مخرب است، از کاربر درخواست می‌شود برای مشاهده «Enable Content» را انتخاب کند. سپس ماکروهای مخرب برای دانلود و نصب NetSupport Manager از یک سایت از راه دور در دستگاه قربانی اجرا می‌شوند.

NetSupport Manager یک ابزار قانونی مدیریت از راه دور است که معمولا توسط هکرها به عنوان یک تروجان دسترسی از راه دور مورد سوءاستفاده قرار می‌گیرد.

این ابزار پس از نصب شدن به مهاجم کنترل کامل روی دستگاه آلوده و قابلیت اجرای فرمان از راه دور روی آن را می‌دهد.

در این حمله، ابزار NetSupport Manager با نام dwm.exe در یکی از پوشه‌های تصادفی اطلاعات کاربر در مسیر %AppData% ذخیره و اجرا می‌شود.

بعد از مدتی مهاجم می‌تواند از ابزار دسترسی از راه دور NetSupport Manager برای در معرض خطر قرار دادن کامپیوتر قربانی و نصب اسکریپت‌ها و بدافزارهای دیگر استفاده کند.

کاربرانی که در معرض این حمله قرار گرفته‌اند، باید با این فرض عمل کنند که اطلاعات آن‌ها در معرض خطر قرار گرفته و مهاجم اقدام به سرقت رمزعبورهای آن‌ها کرده است. همچنین این احتمال وجود دارد که مهاجم از دستگاه آلوده برای گسترش در سراسر شبکه استفاده کرده باشد.

کاربران پس از پاکسازی دستگاه آلوده، باید رمزعبورها را تعویض کرده و کل کامپیوترهای شبکه را به منظور شناسایی آلودگی در آن‌ها بررسی کنند.

 

 

توضیحات بیشتر:

Microsoft warns of 'massive' phishing attack pushing legit RAT