به گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، یک کمپین فیشینگ از DHL، تحت عنوان "اطلاعیه DHL" در چند روز گذشته، کاربرانی را در سراسر جهان هدف قرار داده و در حال توزیع بدافزار Muncy است. مهاجمان با استفاده از تنظیمات نادرست سرورها از سرورهای SMTP استفاده میکنند.
تکنیک جعل ایمیل برای جعل هویت DHL، یک شرکت حمل و نقل محبوب، استفاده میشود و یک اعلان حمل و نقل به صندوق پست الکترونیک کاربر ارسال میکند، از این ایمیل برای ارسال ایمیلهای اعلان استفاده میشود:
<support@dhl [.]com>
این روش، تکنیک جدیدی نیست و بسیاری از وبسرورهای موجود در اینترنت از پیکربندی امنیتی مناسب برای جلوگیری از این حملات برخوردار نیستند. کاربرانی که ایمیل را دریافت میکنند باید ضمیمههای مخرب را از حالت فشرده خارج کنند. بدافزار یک فایل exe. است که رایانههای کاربران را اسکن کرده و اطلاعاتی شامل دادههای FTP را جمعآوری میکند.
بدافزار بستهبندی شده و بعد از اجرای اولیه، فرآیندی جدید ایجاد و اجرا میشود. این فرآیند اسکن گستردهای در درایو C کاربران انجام داده و اطلاعات حساس را جمعآوری کرده و به دامنهای که توسط کلاهبرداران اداره میشود ارسال میکند.
بدنه ایمیل یک پیام متنی ساده نیست، بلکه، یک تصویر PNG درون آن تعبیه شدهاست. امکان مشاهده موارد الصاقی ایمیل از مسیر محلی"C: /Users/Administrator/Desktop/DHL.png" وجود دارد. هماکنون بدافزار Muncy یکی از فعالترین تروجانها است.
نشانههای آلودگی (IoC):
هش:
سرور C&C: