Fisherlar kompaniya ma’lumotlarini to’plash uchun Separ zararli dasturidan foydalanadilar
Hujumchilar oddiy, ammo samarali taktikadan foydalanadilar, bu qonuniy bajariladigan fayllar va qisqa skriptlarning kombinatsiyasini o’z ichiga oladi.
Fishing kampaniyasining bir qismi sifatida kiberjinoyatchilar foydalanuvchi ma’lumotlarini o’g’irlashga qaratilgan Separ zararli dasturini tarqatish uchun PDF hujjatlaridan foydalanmoqdalar. Deep Instinct xavfsizlik firmasi tomonidan o’tkazilgan tadqiqotga ko’ra, hujumlar yanvar oyi oxirida boshlangan va Janubi-Sharqiy Osiyo, Yaqin Sharq va Shimoliy Amerikadagi taxminan 200 ta kompaniya va 1000 dan ortiq foydalanuvchilarga ta’sir ko’rsatgan.
Hujum davomida Separ zararli dasturlarini tarqatuvchilar oddiy, ammo samarali taktikadan foydalanib, qonuniy bajariladigan fayllarni qisqa skriptlar bilan birlashtiradilar.
«Ushbu zararli dastur tomonidan qo’llaniladigan hujum mexanizmi juda oddiy va hujumchilar tahlildan qochishga hech qanday urinish qilmagan bo’lsa-da, qurbonlar sonining ko’payishi oddiy hujumlar juda samarali bo’lishi mumkinligini ko’rsatadi», deb ta’kidladi Deep Instinct xavfsizlik bo’yicha mutaxassisi Gay Propper.
Birinchi Separ variantlari 2017-yil noyabr oyidan beri mavjud bo’lib, zararli dastur asoslangan versiyalar esa 2013-yildan beri faol. Bu tajovuzkorlar zararli harakatlarni amalga oshirish uchun qonuniy vositalardan foydalanishni o’z ichiga olgan «yerdan tashqarida yashash» deb nomlangan oddiy, ammo aqlli taktikadan foydalanadilar.
Hujumlar juda qisqa skriptlar, paketli fayllar va qonuniy bajariladigan fayllardan foydalanish bilan tavsiflanadi. Hujum zararli PDF hujjatini o’z ichiga olgan fishing elektron pochtasi bilan boshlanadi. Jabrlanuvchilarning e’tiborini jalb qilish uchun elektron pochta mavzulari ko’pincha turli xil narxlar, uskunalar spetsifikatsiyalari yoki yetkazib berish ma’lumotlari atrofida aylanadi.
Jabrlanuvchi biriktirilgan «PDF hujjat»ni ochgandan so’ng, VBS skripti ishga tushiriladi, bu esa o’z navbatida Adobe bilan bog’liq dasturlar niqobi ostida bir qator qisqa paketli fayllarni ishga tushiradi. Ushbu fayllar bir nechta zararli funktsiyalarni bajaradi, jumladan, xavfsizlik devori sozlamalarini o’zgartirish va hisob ma’lumotlarini o’g’irlash. O’z faoliyatini yashirish uchun zararli dastur bo’sh .jpeg faylini ochadi. Hisob ma’lumotlari SecurityXploded vositasi yordamida yig’iladi va keyin ma’lumotlar FTP orqali FreeHostia deb nomlangan qonuniy xizmatga yuklanadi.
Tadqiqotchilar kompaniyalarga skriptlar va skriptlash vositalaridan foydalanishni cheklashni va noma’lum va ishonchsiz havolalarni bosishdan saqlanishni tavsiya qiladilar.
