By 
کارشناسان ما یک کمپین مخرب جدید را کشف کرده اند که شامل یک ابزار نسبتاً گسترده است. این ابزارها شامل یک Trojan بانکی ، باج افزار به نام Quoter (که سیستم های ما قبلاً با آن روبرو نشده بودند) و برنامه های دسترسی از راه دور قانونی (LiteManager و RMS ، احتمالاً سایر برنامه ها) هستند. مجرمان سایبری با گروه RTM در ارتباط هستند.
نحوه عملکرد مهاجمان
حمله با فیشینگ استاندارد آغاز می شود: مهاجمان آنچه را که به نظر می رسد یک سند است از طریق پست الکترونیکی ارسال می کنند اما در واقع Trojan-Banker.Win32.RTM است. برای اینکه گیرندگان بتوانند پیوست را باز کنند ، از عناوین ایمیل جلب توجه کننده برای مخاطبان شرکت استفاده می کنند. کارشناسان ما با انواع زیر روبرو شدند:
- احضار احضار ،
- درخواست بازپرداخت ،
- اسناد در حال بسته شدن ،
- کپی اسناد ماه گذشته.
Trojan خود جدید نیست ، به طور مداوم در ما ظاهر می شود گزارش ده خانواده برتر بدافزار بانکی از سال 2018. اگر گیرنده روی پیوست کلیک کرده و بدافزار را نصب کند ، ابزارهای اضافی هک را بر روی رایانه بارگیری می کند.
در مرحله بعدی ، مجرمان سایبری شبکه را برای یافتن رایانه های کارمندان حسابداری جستجو می کنند و سعی در دستکاری می کنند سیستم بانکی از راه دور با جایگزینی جزئیات بانکی خود به جای موارد صحیح. این رفتار برای RTM چیز جدیدی نیست. جالب توجه است ، باند به عنوان یک طرح پشتیبان ، Quoter (Trojan دیگری که با نام Trojan-Ransom.Win32.Quoter شناسایی می شود) را راه اندازی کرد ، که ما نام آن را به این ترتیب گذاشتیم زیرا نقل قول های فیلم را به کد پرونده های رمزگذاری شده وارد می کند.
همانطور که هست روش معمول برای اپراتورهای باج افزار مدرن ، RTM همچنین اطلاعات را با سیفون روبرو می کند و بعداً تهدید می کند که در صورت تأخیر باج ، آنها را منتشر خواهد کرد. در زمینه های حمل و نقل یا خدمات مالی. با این حال ، تعداد قربانیان قطعاً بالاتر است. مدت زمان بین آلودگی اولیه و فعال سازی باج افزار ، هنگامی که حمله مشخص شد ، می تواند چندین ماه باشد. در طی آن زمان ، مهاجمان شبکه های قربانیان را جستجو می کنند ، و کامپیوترهای دارای سیستم بانکی از راه دور را جستجو می کنند.
حملات مشابه به شرکت های فعال در مناطق دیگر ممکن است دنبال شود (Quoter نقل قول هایی را به انگلیسی وارد می کند ، که لزوما معنی ندارد ، اما نشان می دهد باند نگاه بین المللی دارد). برای یک مرور اجمالی فنی کمی بیشتر در مورد کمپین جدید ، از جمله تکه های کد مخرب و IOC ، به پست Securelist مراجعه کنید. با ایمیل های فیشینگ همکارانی که از خطر و ترفندهای استاندارد متجاوز آگاه هستند ، کمتر طعمه را می بلعند و شرکت را به خطر می اندازند.
برای تشخیص به موقع حرکت جانبی توسط متجاوزان از طریق شبکه شرکتی و استفاده از ابزارهای قانونی برای اهداف مخرب ، می توانید از راه دور آموزش را سازماندهی کنید.
علاوه بر این ، همه رایانه های کارمندان ، به ویژه آنهایی که با سیستم بانکی کار می کنند ، باید راه حل های امنیتی داشته باشند که بتواند تهدیدهای شناخته شده و کاملا جدید را تشخیص دهد.
محصولات ما باج افزارهای RTM banking Trojan و Quoter را شناسایی می کنند.
(تابع (d، s، id) {var js، fjs = d.getElementByTagName (s) [0]؛ if (d.getElementById (id)) {return} js = d.createElement (s)؛ js.id = id؛ js.src = "https: / / connect.facebook.net / en_US /all.js"؛ fjs.parentNode.insertBefore (js، fjs)} (سند ، "اسکریپت" ، "facebook-jssdk "))؛ .
