اوکراین درباره یک کمپین فیشینگ در مقیاس بزرگ که داده های شهروندان را هدف قرار می دهد، هشدار داد

مقامات اوکراین نسبت به یک حمله فیشینگ گسترده با هدف سرقت اطلاعات شخصی حساس شهروندان هشدار داده اند.

مهاجمان که تحت شناسه UAC-0218 ردیابی می شوند، پیوندهای فیشینگ را ارسال می کنند که ادعا می کنند فاکتورها یا جزئیات پرداخت هستند اما در واقع منجر به دانلود ب،زار سرقت اطلاعات می شوند.

پس از دانلود، این اسکریپت دستگاه قرب، را به دنبال اسناد با فرمت های مختلف جستجو می کند و آنها را به سرورهای مهاجمان ارسال می کند. این به یک عامل تهدید اجازه می دهد تا داده های شخصی و مالی حساس را به منظور سرقت یا اخاذی به سرقت ببرد.

بر اساس اطلاعات ثبت نام دامنه، این کمپین حداقل از اوت 2024 در حال اجرا بوده است.

تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) جزئیات بیشتری در مورد هویت مهاجمان یا اینکه آیا آنها انواع خاصی از افراد را هدف قرار می دادند ارائه نکرد.

فرآیند داده کاوی گسترده است

CERT-UA گفت، ایمیل های فیشینگ حاوی موضوع "جزئیات حساب" هستند. این ایمیل ها حاوی پیوندی هستند که ظاهراً به یک فایل eDisk برای دانلود آرشیوهای RAR به همین نام است.

این آرشیوها حاوی دو سند فریبنده محافظت شده با رمز عبور به نام های "Договир20102024.doc" و "Раннок20102024.xlsx" و همچنین اسکریپت VBS "P،word.vbe" هستند.

پس از کلیک ،، اسکریپت VBS کد برنامه را اجرا می کند که جستجوی بازگشتی انواع مختلف فایل ها را در پنج فهرست پوشه %USERPROFILE% - "xls"، "xlsx"، "doc"، "docx"، "pdf"، "txt" امکان پذیر می کند. "، "csv"، "rtf"، "ods"، "odt"، "eml"، "pst"، "rar"، "zip".

هر فایلی از این قبیل که اندازه آنها کمتر از 10 مگابایت است، با استفاده از روش PUT پروتکل HTTP به سرور مهاجمان منتقل می شود. این روش برای ایجاد یک منبع جدید یا جایگزینی یک منبع موجود در وب سرور استفاده می شود.

تجزیه و تحلیل CERT-UA همچنین یک فایل اجرایی را در سیستم قرب،ان کشف کرد که حاوی یک فرمان PowerS، یک خطی بود.

این فایل عملکرد مشابهی را برای جستجوی بازگشتی دایرکتوری %USERPROFILE% برای فایل ها بر اساس فهرست ،دها انجام می دهد ('*.xls*','*doc*','*.pdf','*.eml','* .sqlite. ','* .pst','*.txt') و بعداً با استفاده از روش POST پروتکل HTTP به سرور مدیریت منتقل شد.

آژانس ،تی اوکراین ویژگی های زیرساختی را برای مدیریت مهاجمان، مانند استفاده از ثبت کننده نام دامنه HostZealot، و همچنین اجرای وب سرور (آینده) با استفاده از پایتون، برجسته کرد.

در آگوست 2024، CERT-UA هشدار داد که بیش از 100 رایانه ،تی اوکراین پس از یک کمپین فیشینگ گسترده در معرض خطر قرار گرفته اند.

مهاجمان جعل هویت سرویس امنیتی اوکراین در ایمیل ها بودند تا هدف ها را فریب دهند تا روی پیوند م،بی که ب،زار ANONVNC را روی دستگاه دانلود می کرد کلیک کنند.