توزیع تروجان FlawedAmmyy از طریق ارسال انبوه اسپم

مهاجمان تروجان کنترل از راه دور FlawedAmmyy را از طریق عامل تهدید TA505 توزیع می‌کنند. عامل تهدید TA505 براى کمپین‌های توزیع انبوه اسپم مانند تروجان بانکی Dridex، باج‌افزار Locky و باج‌افزار Jaff استفاده شده و شناخته مى‌شود.

 توزیع تروجان FlawedAmmyy از طریق ارسال انبوه اسپم

مهاجمان تروجان کنترل از راه دور FlawedAmmyy را از طریق عامل تهدید TA505 توزیع می‌کنند. عامل تهدید TA505 براى کمپین‌های توزیع انبوه اسپم مانند تروجان بانکی Dridex، باج‌افزار Locky و باج‌افزار Jaff استفاده شده و شناخته مى‌شود.  این کمپین بزرگ ایمیلى در تاریخ 5 و 6 مارس 2018 انجام گرفت که حاوی پیوست‌های فایل زیپ شده‌اى است که کد جاوا اسکریپتى را از سرور مهاجم دانلود و اجرا می‌کند. فایل زیپ شده ی پیوست حاوی فایل های .url است که سایت های اینترنتی را شامل می شود و مرورگر پیشفرض را به صورت اتوماتیک راه اندازی می کند، در این کمپین، مهاجمان از file:// به جای http:// استفاده کرده اند. بنابراین در این مورد فایل مخرب به جای راه اندازی مرورگر، به صورت مستقیم از طریق SMB دانلود می شود. سپس فایل جاوااسکریپت، Quant Loader را دانلود می کند و پیلود نهایی یعنی تروجان دسترسی راه دور FlawedAmmyy از این طریق دانلود می شود.

 

 

در تلاش های قبلی مهاجمان در تاریخ 1 مارس، تروجان کنترل راه دور  FlawedAmmyy را از طریق ماکروهای اسناد آفیس به صورت مستقیم توزیع کردند. تروجان FlawdAmmyy مبتنى بر کد منبع افشا شده‌ى ابزار Ammy Admin است. این تروجان شامل توابع زیر است:

– Remote Desktop control

– File system manager

– Proxy support

– Audio Chat

مهاجمان از کد منبع افشا شده‌ى Ammy admin v3 سوء استفاده کرده و تروجان FlawedAmmyy  را توسعه داده تا به کامپیوتر آسیب رسانده، اطلاعات مشترى و اطلاعات اختصاصى و … را سرقت کند.

 

 

منبع

 

 

کلمات کلیدی