هشدار حمله دوباره Separ یک جاسوسافزار قدیمی
کارشناسان معاونت بررسی مرکز افتا از همه کاربران خواستهاند تا ایمیلهای ناشناس را بههیچ وجه باز نکنند تا در دام ایمیلهای فیشینگ گرفتار نشوند. مهاجمان سایبری با استفاده از نسخه جدیدی از یک جاسوسافزار قدیمی به نام Separ اطلاعات ۲۰۰ شرکت را در ۱۰ کشور سرقت کردند.
۴مرکز مدیریت راهبردی افتای ریاست جمهوری به نقل از پایگاه اینترنتی BleepingComputer، اعلام کرد که جاسوس افزار Separ پس از نصب، اطلاعات احراز هویت مرورگرها و نرمافزارهای مدیریتکننده ایمیل را سرقت و اسناد بالقوه بااهیمت را بر اساس پسوند آنها جستوجو و شناسایی می کند.
تمامی دادههای جمعآوری شده این جاسوس افزار، با استفاده از پودمان FTP به یک سرویسدهنده رایگان میزبانی وب به نشانی freehostia[.]com ارسال میشود.
بدافزار Separ دادههای ثبت ورود (Login) را از مرورگرها و نرمافزارهای مدیریتکننده ایمیل استخراج کرده و به همراه مستندات و تصاویر با پسوندهای خاص به مهاجمان ارسال میکند.
جاسوس افزار Separ از قابلیت Autorun برای ماندگار کردن خود بعد از راهاندازی سیستم قربانی استفاده می کند. مهاجمان این کارزار از ایمیلهای فیشینگ هدفمند (Spear-phishing) که کدهایی مخرب در قالب فایل PDF به آنها پیوست شده برای رخنه به سیستمها و آلودهسازی آنها به بدافزار بهره میگیرند.
در این عملیات جاسوسی سایبری، تاکنون حداقل ۲۰۰ دستگاه در حدود ۱۰ کشور قربانی و آلوده شده است که تقریباً ۶۰ درصد از این قربانیان شرکتهایی در کره جنوبی هستند که در حوزه مهندسی، ساختوساز، فولاد، مواد شیمیایی و ساخت لوله و شیرآلات فعالیت دارند.
تایلند و چین بهترتیب با ۱۲.۹ و ۵.۹ درصد در جایگاههای دوم و سوم کشورهای آلوده به این عملیات جاسوسی سایبری قرار دارند. ژاپن، اندونزی، ترکیه، اکوادور، آلمان و انگلیس دیگر قربانیان این حملات هستند.
ایمیلهای فیشینگ ارسالی از سوی این مهاجمان به نحوی کاملاً خاص و حرفهای، ویژه هر هدف طراحی شده است. در یکی از آنها این طور وانمود شده که ارسالکننده کارمند یکی از شرکتهای تابعه زیمنس است و درخواست پیشنهاد قیمت برای طراحی نیروگاهی در جمهوری چک را دارد. در پیوست پیام ارسالی این مهاجم سایبری، نمودار و مقالهای فنی (که البته بهصورت عمومی در اینترنت نیز قابل دسترس است) در خصوص نحوه راهاندازی یک پالایشگاه تولید بنزین به چشم میخورد. یا در یک درخواست پیشنهاد قیمت جعلی دیگر، مهاجم به ساخت یک نیروگاه ذغالسنگ در اندونزی اشاره و تظاهر میکند که از بخش مهندسی یک شرکت صاحبنامِ خوشهای در ژاپن ایمیل ارسال شده است./ ایسنا