ايتنا - برخی از هکرها تنبل شده‌اند!

بر پایه آنالیز باج‌افزارها که به آژانسهای دولتی و سازمانهای پزشکی در نقاط مختلف جهان از واحد 42 Palo Alto Networks، ارسال شده است در حالی که موارد حملات فیشینگ مرتبط با کروناویروس افزایش چشمگیری داشته است ولی برخی از مهاجمان تنبلی را در پیش گرفته‌اند!

به گزارش ایتنا و به نقل از سیودایو، گروه مذکور باج‌افزار EDA2 را پیدا کرد که با HiddenTear مرتبط است. این بدافزار منسوخ شده بود، بدین معنی که با تاریخی که به آن ارجاع داشت متناظر نبود. سازندگان آن همچنین از تلاش برای اینکه فریبشان به شکلی مشروع به نظر برسد غفلت کردند. هیچ یک از این تلاشهای بدافزاری مشاهده شده در این تحقیق موفق نبودند.

پس از آنکه فرماندهی و کنترل از راه دور این بدافزار جزئیات نام کاربری و نام هاست هدف را به دست بیاورد رمزنگاری آن با استفاده از یک الگوریتم «نسبتا آسان» آغاز می‌شود. علاوه بر این، این باج‌افزار یک «محدودیت اساسی خاص» دارد، به این صورت که فقط می‌تواند فایلها را بر روی دستکاپ کاربر رمزنگاری کند.

با وجود رشد چشمگیر حملات فیشینگ پس از شیوع کروناویروس، ولی برخی از تبه‌کاران سایبری هم هستند که چندان به کمپینهای بدافزاریشان دقت نمی‌کنند.

آدریان مک‌کیب، محقق ارشد تهدیدات در «واحد 42» می‌گوید که: «این کمپین به هیچ عنوان دقیق و حساب شده نبود». این مهاجم تلاش کرده بود «از کنجکاوی افراد در قبال هرگونه مبحث خاصی که در یک زمان مشخص پرمخاطب می‌شود بهره‌برداری کند»، کاری که تبه‌کاران سایبری معمولا انجام می‌دهند.

«واحد 42» متوجه شد که یک کمپین دیگر، به نام AgentTesla، علیه صنایع بهداشت و درمان، دارویی و دولتی به راه افتاده است. AgentTesla در فرومها برای تبه‌کاران سایبری فروخته می‌شود و به سرقت اطلاعات شهرت دارد و به همین خاطر طرفداران زیادی دارد.

این کمپین از دامنه‌های تجاری سالم و قانونی به عنوان فرستنده ایمیل استفاده می‌کند. این دامنه‌های تجاری متعلق به در زمینه فروش اسکیت‌بورد و منسوجات پوشاک هستند و ممکن بود توسط طرف مهاجم مورد دستکاری قرار گرفته باشند.

با اینکه فرستنده ایمیل که ظاهری مبدل به خود گرفته بود از ایمیلهای که ظاهرا واقعی بودند استفاده می‌کرد، ولی گیرنده‌های آنها احتمالا گیرنده‌های اشتباهی بودند.