امنیت

RAT جدید تجارت کلمبیا را هدف گرفته است

محققان امنیتی یک کمپین ارسال اسپم را شناسایی کرده اند که موسسات مالی و سازمان های دولتی را هدف قرار داده است.
ایفاگران این کمپین از یک سرویس ایمیل یک بار مصرف برای کنترل اجرای و کنترل دسترات بر روی سرور استفاده می کنند.

گزارش شده است که یک بدافزار جدید به نام Proyecto RAT در این کمپین منتشر شده است.
علاوه بر این، نویسندگان این کمپین به یک سرویس آدرس ایمیل یکبار مصرف به نام YOPmail برای سرور فرمان و کنترل (C2) متکی بودند.
این کمپین توسط محققان امنیتی Trend Micro شناسایی شده اند.اعتقاد بر این است که گروهی که به طور منظم در صنعت کسب و کار الکترونیکی (BEC) فعال هستند در پشت این کمپین قرار دارند.

تصویر کلی

این کمپین  موسسات مالی و سازمان های دولتی کلمبیا را هدف قرار داده بود.
ایمیل های اسپم این کمپین با پسوند فایل های RTF مخرب نام گذاری شده اند. این فایل ها حاوی ماکروهایی بودند که پس از کلیک ، بارگیری بدافزار را انجام می داد.
پی لود اصلی این RAT به صورت لحظه ای توسط کمپین تولید کننده مانیتور می شود.محققان ترند میکرو مشاهده کردند که این RAT  ابزار جدیدی به نام Proyecto RAT  را دانلود و اجرا کرده است.
این نسخه Proyecto RAT با زبان ویژوال بیسیک ۶ نوشته شده است و URL C2 از YOPmail را دارد.
همچنین گفته می شود که این کمپین به کشورهای دیگر در آمریکای جنوبی و همچنین سایر کشورهای جهان حمله کرده است.

شباهت ها با Xpert RAT

محققان Trend Micro بر این باورند که Proyecto RAT جدید شبیه به RAT دیگری است که تحت عنوان Xpert RAT شناخته می شود. “مشاهده بسیاری از ویژگی های بدافزار، ما سعی کردیم آن را با مشخصات RAT شناسایی کنیم. ارتباط بین سرویس گیرنده و سرور از طریق TCP، رمزگذاری نشده است، و از اشکال pipe ‘|’ و ‘¡@ # @!’ به عنوان جدا کننده استفاده می کند. این توصیف کاملا با Xpert RAT کاملا منطبق است. محققان در تجزیه و تحلیل این بدافزار گفتند جستجو برای رشته  هگزای x86 از کلاس cTimer نیز منجر به ارتباط با Xpert RAT می شود.

منبع
به این پست امتیاز دهید.
مشاهده بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

بستن