מחלקות פיננסיות של עסקים בבלקן תחת מתקפת קמפיין זדוני

חוקרי ESET חשפו קמפיין שמשתמש בשני כלים דומים – דלת אחורית ושליטה מרחוק במטרה להשיג רווחים כספיים

ESET

חוקרי ESET גילו קמפיין זדוני שמתרחש בארבע מדינות מחבל הבלקן: סרביה, קרואטיה, מונטנגרו ובוסניה והרצגובינה. הקורבנות במסגרת מתקפה זו הינן מחלקות פיננסיות בעסקים.

כמנגנון ההתפשטות, התוקפים משתמשים במיילים זדוניים עם קישורים אשר מובילים לקובץ זדוני. התוכן במיילים ברובו עוסק במיסים, ונראה שהמתקפה מיועדת לרואי חשבון באזור. חוקרי ESET מאמינים כי זהו קמפיין אשר המניע שלו הוא כלכלי.

שני כלים זדוניים מסייעים לקמפיין: הראשון הינו דלת אחורית והשני הוא טרויאני, עם גישה מרחוק, ו-ESET מכנה אותם BalkanDoor ו-BalkanRAT. הקורבן למעשה ימצא את עצמו עם שני כלים אלו פועלים על המחשב, כאשר כל אחד מהם מסוגל לשלוט על המכונה המושפעת. השימוש בשני כלים יחד נדיר למדי, ומאפשר לתוקפים לבחור בשיטה המתאימה ביותר לשליטה במחשבים המושפעים.

BalkanRAT מאפשר לתוקפים לשלוט מרחוק בצורה ידנית על המחשב המותקף, באמצעות ממשק גרפי. BalkanDoor מאפשר להם לשלוט מרחוק באמצעות שורת פקודה.

חקר שני הכלים הזדוניים העלה מספר מאפיינים בולטים: BalkanDoor מסוגלת לפתוח נעילת מסך ללא סיסמה, אפשרות שימושית לתוקפים במקרים בהם משתמש נעל את המחשב שלו. הדגימות האחרונות מראות כי BalkanDoor מנצלת פגיעות של WinRAR ACE, המאפשרת לפעול גם מבלי שהמשתמש יפעיל קובץ בעצמו.

BalkanRAT, לעומת זאת, עושה שימוש לרעה בתוכנת מחשב מסחרית לגיטימית, שיכולה לעקוב אחר פעילות המשתמש ובאופן ידני לשלוח במחשב. בנוסף, הכלי משתמש בכלים וסקריפטים נוספים כדי להסתיר את נוכחותו מהקורבן, כגון הסתרת החלון, האייקון והתהליכים שלו.

 

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים