محققان امنیتی یک کمپین جدید را هدف قرار دادند که موسسات مالی و سازمانهای دولتی را با یک نسخه سفارشی از ابزار دسترسی از راه دور به نام “موش مرده” هدف قرار دادند.
اطلاعاتی که در ویژوال بیسیک ۶ یافت میشود و از یوپمیل یکپارچه برای آدرس C و C استفاده می کند. yopmail برای ایجاد صندوقهای پستی موقت شناخته شده است.
فرایند انتشار
براساس گزارش میکرو روند، این حمله اصولا سازمانها را در منطقه آمریکای جنوبی بویژه در کلمبیا هدف قرار میدهد. این عفونت با یک ایمیل سفارشی شروع میشود که به هدف از سرورهای پست الکترونیکی باز یا متمرکز در منطقه آمریکای جنوبی فرستاده میشود.
ایمیل حاوی فایل پیوست RTF و شامل موضوعات وسوسه انگیز است:
ما دادخواستی را علیه شما تنظیم کردهایم.
حسابهای بانکی شما به آرامی مسدود خواهد شد.
فروشگاههای موفق به شما یک هدیه مجازی به ارزش ۵۰۰.۰۰۰. دلارارائه میکنند.
این پیوند شامل لینکهایی است که قربانیان مستقیم را به اشتراکگذاری فایل هدایت میکند، پرونده تحویل یک فایل MHTML با قابلیت ماکرو است .ماکروکد مسئول اجرای مرحله اول میباشد.
همانطور که این نام نشان میدهد، تمام فعالیتهای شبکه را زیر نظر دارد و شامل اطلاعاتی برای اجرای بار دوم است. مانیتور Imminent ، طیف وسیعی از فعالیتهای نظارت را پشتیبانی میکند که شامل جاسوسی در صفحه کلید، انتقال فایل، صفحه screenshots و ضبط صداهای صوتی میباشد.
مرحله دوم پروژه موش مرده
مرحله دوم بارگیری “Proyecto RAT” است که با استفاده از سرویس ایمیل یوپمن یکبار مصرف برای ارتباط C & C استفاده می کند.
بر اساس گزارش تحلیل میکرو روند ، «این بدافزار به یک صندوق پستی متصل میشود، تنها پیام ایمیل موجود را میخواند، آنرا تجزیه میکند، و سپس موضوع ایمیل را را استخراج میکند..
محققین معتقدند که “موش مرده” یک نسخه قدیمی و منحصر به فرد از the رت باتلر است.
حملات به آمریکای جنوبی و کلمبیا هدفمندترین کشور محسوب میشود و به دنبال آن کمپینها، کمپینهای اخیر به نظر میرسد که نهادهای دولتی، موسسات بهداشتی، داروسازی، سازمان های کشاورزی، صنعت غذا بستهبندی را هدف قرار میدهند.
