توزیع تروجان FlawedAmmyy از طریق ارسال انبوه اسپم
مهاجمان تروجان کنترل از راه دور FlawedAmmyy را از طریق عامل تهدید TA505 توزیع میکنند. عامل تهدید TA505 براى کمپینهای توزیع انبوه اسپم مانند تروجان بانکی Dridex، باجافزار Locky و باجافزار Jaff استفاده شده و شناخته مىشود.
مهاجمان تروجان کنترل از راه دور FlawedAmmyy را از طریق عامل تهدید TA505 توزیع میکنند. عامل تهدید TA505 براى کمپینهای توزیع انبوه اسپم مانند تروجان بانکی Dridex، باجافزار Locky و باجافزار Jaff استفاده شده و شناخته مىشود. این کمپین بزرگ ایمیلى در تاریخ 5 و 6 مارس 2018 انجام گرفت که حاوی پیوستهای فایل زیپ شدهاى است که کد جاوا اسکریپتى را از سرور مهاجم دانلود و اجرا میکند. فایل زیپ شده ی پیوست حاوی فایل های .url است که سایت های اینترنتی را شامل می شود و مرورگر پیشفرض را به صورت اتوماتیک راه اندازی می کند، در این کمپین، مهاجمان از file:// به جای http:// استفاده کرده اند. بنابراین در این مورد فایل مخرب به جای راه اندازی مرورگر، به صورت مستقیم از طریق SMB دانلود می شود. سپس فایل جاوااسکریپت، Quant Loader را دانلود می کند و پیلود نهایی یعنی تروجان دسترسی راه دور FlawedAmmyy از این طریق دانلود می شود.
|
در تلاش های قبلی مهاجمان در تاریخ 1 مارس، تروجان کنترل راه دور FlawedAmmyy را از طریق ماکروهای اسناد آفیس به صورت مستقیم توزیع کردند. تروجان FlawdAmmyy مبتنى بر کد منبع افشا شدهى ابزار Ammy Admin است. این تروجان شامل توابع زیر است: |
– Remote Desktop control |
– File system manager |
– Proxy support |
– Audio Chat |
مهاجمان از کد منبع افشا شدهى Ammy admin v3 سوء استفاده کرده و تروجان FlawedAmmyy را توسعه داده تا به کامپیوتر آسیب رسانده، اطلاعات مشترى و اطلاعات اختصاصى و … را سرقت کند.
|
|