یک کمپین بدافزار جدید مشاهده شده است که از اطلاعات حساس سرقت شده از یک بانک به عنوان یک فریب در ایمیل های فیشینگ برای حذف یک تروجان دسترسی از راه دور به نام BitRAT استفاده می کند.
اعتقاد بر این است که دشمن ناشناس زیرساخت فناوری اطلاعات یک بانک تعاونی کلمبیایی را ربوده است و از اطلاعات برای ایجاد پیام های فریبنده قانع کننده استفاده می کند تا قربانیان را برای باز کردن پیوست های مشکوک اکسل فریب دهد.
این کشف از سوی شرکت امنیت سایبری Qualys به دست آمده است که شواهدی مبنی بر تخلیه پایگاه داده شامل ۴۱۸۷۷۷ رکورد پیدا کرده است که گفته می شود با بهره برداری از خطاهای تزریق SQL به دست آمده است.
جزئیات فاش شده شامل شماره Cédula (سند هویت ملی صادر شده برای شهروندان کلمبیایی)، آدرس ایمیل، شماره تلفن، نام مشتریان، سوابق پرداخت، جزئیات حقوق و آدرس و غیره است.
هیچ نشانهای وجود ندارد که اطلاعات قبلاً در هیچ انجمنی در تاریکنت یا وب شفاف به اشتراک گذاشته شده باشد، که نشان میدهد خود عاملان تهدید برای انجام حملات فیشینگ به دادههای مشتری دسترسی داشتهاند.
فایل اکسل، که حاوی دادههای بانکی استخراجشده است، همچنین یک ماکرو را در خود جاسازی میکند که برای دانلود یک بار DLL مرحله دوم استفاده میشود، که برای بازیابی و اجرای BitRAT در میزبان آسیبدیده پیکربندی شده است.
Akshat Pradhan محقق Qualys گفت: «این از کتابخانه WinHTTP برای دانلود بارهای تعبیه شده BitRAT از GitHub به فهرست %temp% استفاده می کند.
مخزن GitHub که در اواسط نوامبر ۲۰۲۲ ایجاد شد، برای میزبانی از نمونههای لودر BitRAT مبهم استفاده میشود که در نهایت رمزگشایی شده و برای تکمیل زنجیرههای عفونت راهاندازی میشوند.
BitRAT، یک بدافزار خارج از قفسه که در فرومهای زیرزمینی با قیمت ۲۰ دلار به فروش میرسد، دارای طیف گستردهای از قابلیتها برای سرقت دادهها، جمعآوری اعتبار، استخراج ارزهای دیجیتال و دانلود باینریهای اضافی است.
پرادان گفت: «موشهای صحرایی تجاری خارج از قفسه روشهای خود را برای انتشار و آلوده کردن قربانیان خود توسعه میدهند. آنها همچنین استفاده از زیرساختهای قانونی را برای میزبانی محمولههای خود افزایش دادهاند و مدافعان باید پاسخگوی آن باشند.»