ESET-аас мэдээлж буйгаар шинэ спам кампанит ажил дахин шүүхийн мэдэгдэл мэт гэж нэрлэгдэх сэдвийг ашигладаг боловч цахим гэмт хэрэгтнүүд биднийг хуурахыг зорьдоггүй,харин манай системийн аюулгүй байдлыг зөрчихийг зорьж байна.
Сүүлийн үед компанийн лабораторид өөр төрлийн зарим төрлийн имэйлийн идэвхжилт нэмэгдсэн байдлыг илрүүлсэн ба эдгээр нь албан ёсны мэдэгдэл мэтээр дүрэмтэж, хүлээн авагчийг хавсаргасан баримтыг нээхэд шууд зайлшгүй шаардлага үүсгэж байна.
Заль мэх нь юунаас эхэлдэг вэ
Зурвасны биенд найдахад хэрэглэгчид итгэл үнэмшил өгөх зүйл алга учир гэмт хэрэгтнүүд имэйлийн сэдэв ба хавсаргасан PDF-ийн агуулгыг хангалттай гэж үзэж хэрэглэгчдийг хуурахаар зорьдог.
Хавсаргасан PDF баримтад энэхүү шүүх мэдэгдлийг илэрхийлсэн баримт бүхий, Испани улсын далбаа тод өргөн харагдах нь кампанийн зарим хэмжээг түгээмэл болгосон бөгөөд еврийн иргэд Испанийн иргэд байх зорилгодоо нийцүүлэн хувь хүнээ онцлон онцолсон шинжтэй байгааг илэрхийлж байна. Мөн “Хэрэг гаргах явцыг үзэх” товчлуурт бүрэн дотор холбоос болон асуудалтай мэдэгдэх QR кодыг өгдөг.
Casbaneiro бүлэгт харьяалагдахтай ижил тун төстэй кампан нь (PDF-д QR код байхгүй) сүүлийн үед Bluevoyant-ийн судлаачдын боловсруулсан дүнгээр судлагдсан бөгөөд тэд энэ аюулын зан төлөв, тактик, технологи ба ажиллагааны журамд холбоотой техникийн мэдээллийг өгч байна.
Мөн лабораториудаа яг адилхан бүлгийн өөр нэг кампанийг илрүүлсэн бөгөөд энэ удаад шүүх мэдэгдэл мэт сэдвийг ашиглахын орондCV илгээх эрхтэй гэж үздэг PDF-д танилцуулгыг татаж авах холбоосыг өгдөг байдлаар нийтлэг ашиглагдаж байна.
Эдгээр кампанийн онцлогийн нэг нь гэмт хэрэгтнүүд тодорхой зааврын дагуу тохируулан зөвхөн тодорхой зорилтот хэрэглэгчид байршил, байдлыг тогтоож байж хийдэг талбар юм. Тиймээс гео-фенсингийн аргачлалыг ашиглан програм хангамжийг зөвхөн Испаниас татаж авдаг болгохоос гадна автомат дүн шинжилгээг хэцүү болгох алхмуудыг нэвтрүүлдэг—жишээлбэл татаж авах руу хандаж буй хүн бот биш эсэхийг шалгах засвар, туршилт зэргийг хийдэг.
Энэ шалгалт амжихад дараа нь бидinfection-н анхны үеийн файлуудыг багтаасан архивын доторх нэг HTA файл, түүнтэй хамт Oracle Java SE-ийн хууль бус бөгөөд жинхэнэ бүрэлдэхүүн хэсгийг нууцалдаг хавтасны доторхи бүтэцтэй байна. Энэ төрлийн файлууд эхэн үеийн инфекцийн шатыг бий болгоход түгээмэл ашиглагддаг учир ер нь доторх код нь ихэвчлэн хоёрдугаар үеийн malware татаж авах буюу дээрэмдэгчдийн төлөвлөгөөг хэрэгжүүлэх payload-ийг ажиллуулахад чиглэсэн кодыг л агуулдаг.
HTA файлын дотор ашигтай хэдэн мөр бүхий код байхаас гадна аймаглалтай дүүргэсэн хэсгүүд нь гадаад домэйнаас JavaScript-г алсаас ачаалдаг үндсэн үйлдлийг нуух гэсэн үр дүн юм. Мөн доторх файл дотор шифрлэгдсэн гарын үсгийг олж болно; энэ нь HTML-ийн функциональ агуулгын оронд дотоод тодорхойлогч эсвэл маркер мэт харагддаг.
Энэ файлын хамгийн чухал хэсэг нь гэмт хэрэгтнүүдийн боловсруулсан скриптийг ачаалдаг URL бөгөөд текст хэлбэрээр ил харагддаг бөгөөд дараагийн вэб руу хэрэглэгчийг чиглүүлдэг.
Энэ скриптээр албан ёсны хоёрдугаар үеийн халдлага эхэлдэг, үүний үр дүнд зөгнөлийн VBS файлыг татаж ажиллуулах замаар хохирогчийн системд Casbaneiro банкны троян суулгаж, хэрэглэгч онлайн банкны вэб руу хандах үед банкны мэдээллийг цуглуулахад бэлэн болгодог.
Латин Америкт, ялангуяа Бразил улс дахь гаралтай банкны троянууд удаан хугацаанд дэлхийн хоёр тийш нөлөөлж буй кампани дахь гол дүрүүдээр үйл ажиллагаа явуулсаар байна. Өнгөрсөн жилүүдэд тэд өөрсдийн техникийг адаптац хийж, сайжруулж байгаа ба сүүлийн үед хэрэглэгчдийг будilgeхэд ClickFix гэх техникийг ашиглаж байгаа тухай мэдээлэл гарч байна.
