محققان امنیتی هشدار دادند یک گروه نفود شناخته ده با نام OilRig در حملات اخیر خود از یک بدافزار جدید استفاده است. محققان خارجی قبلا این گروه نفوذ را به کشور عزیزمان ایران، نسبت داده بودند. گفته می شود این گروه در اصلی ترین حملات خود، منطقه ی خاورمیانه را هدف قرار داده است.
در حملات جدید، سازمان های بیمه و برخی موسسات مالی در خاورمیانه با بدافزار جدیدی با نام OopsIE توسط این گروه نفوذ هدف حمله قرار گرفته اند. در حملهی اول بدافزار ThreeDollars بر روی سیستم قربانی نصب شده و در حملهی دیگر، برای نصب بدافزار جدید بر روی سیستم قربانی از شیوهی فیشینگ و هرزنامهها استفاده شده است.
اولین حمله در تاریخ ۸ ژانویهی ۲۰۱۸ میلادی اتفاق افتاده و در یک بازهی ۶ ماهه، دو ایمیل به آدرسهای مختلف به یکی از سازمانها ارسال شده است. هر دوی این ایمیلها از سمت یک دامنهی لبنانی ارسال شده است ولی محققان معتقدند که این آدرسها واقعی نبوده و جعل شدهاند.
این گروه در تاریخ ۱۶ ژانویه نیز سازمان دیگری را هدف حمله قرار داد که سال قبل نیز هدف چنین حملهای قرار گرفته بود. تروجان OopsIE نیز به طور مستقیم از روی سرور دستور و کنترل دانلود میشود. نمونههایی از ThreeDollars که در حملات اخیر جمعآوری شده، مشابه نمونههای تحلیلشده در اکتبر سال ۲۰۱۷ میلادی است که با شیوهی نمایش یک تصویر، کاربر را ترغیب میکند تا ماکروها را فعال کند ولی در پس زمینه فایلهای مخرب اجرا میشوند.
این ماکروهای مخرب یک وظیفهی زمانبندیشده را ایجاد میکند که پس از یک دقیقه اجرا شده و با استفاده از برنامهی کاربردی Certutil دادههای کدگذاری شده را کدگشایی میکند. یکی دیگر از وظایف دو دقیقه بعد اجرا شده و یک VBScript را برای اجرای تروجان OopsIE راهاندازی میکند.
این تروجان با SmartAssembly بستهبندی شده و با استفاده از ConfuserEx مبهمسازی شده است. این بدافزار همچنین با ایجاد یک فایل VBScript بر روی سیستم قربانی به پایداری و ماندگاری میرسد. تروجان همچنین وظیفهای را ایجاد میکند که هر ۳ دقیقه یکبار اجرا میشود و با استفاده از پروتکل HTTP و برنامهی کاربردی InternetExplorer با سرور دستور و کنترل ارتباط برقرار میکند. براساس اطلاعاتی که از سرور دستور و کنترل بدست آمده، تروجان قابلیت اجرای یک دستور، بارگذاری فایل و یا دانلود یک فایل مشخص را دارد.
