بر اساس گزارش کسپرسکی و به نقل از ars TECHNICA مهاجمان در روش جدید ابتدا با ایمیل قربانی را هدف قرار میدهند. هر ایمیل برای هر هدف متفاوت است و به طور ویژه شخصی سازی شده است؛ به گونه ای که زبان ایمیل با زبان سیستم عامل مورد استفاده قربانی، یکسان در نظر گرفته میشود. به عنوان مثال کاربری که در ژاپن قرار دارد ایمیلی با محتوای نوشتار ژاپنی را دریافت میکند.
هکرها یک فایل سند آفیس مایکروسافت را به ایمیل پیوست میکنند که حاوی کدهای ماکرو آلوده به زبان محلی (مثلا ژاپنی) است. علاوه بر این به یک ماژول بدافزار رمزنگاری شده احتیاج دارند که تنها در سیستم عامل با زبان محلی قربانی قابل رمز گشایی است. زمانی که قربانی فایل پیوست شده به ایمیل را باز میکند ظاهرا هیچ اتفاق ناخوشایندی نمیافتد اما در پشت پرده اسکریپت پاورشل حاوی کدهای ماکرو شروع به اجرا شدن میکنند. از آنجایی که دستورات اجرا شده حاوی کدهایی برای گذر از سیاستهای امنیتی سازمانی، مخفی کردن پنجره پاورشل ویندوز و بی نیاز از پیکربندی نهایی اجرا توسط کاربر هستند، هیچ نشانهای از اجرا شدن کدها روی کامپیوتر قربانی دیده نمیشود.
در نهایت اسکریپت مورد بحث عکسی را از وبسایتهای قانونی imgur.com و imgbox.com دانلود میکند که با استفاده از متد استیگانوگرافی یا پنهاننگاری در پیکسلهای آن اطلاعات مرتبط با کدهای آلوده مخفی شدهاند. دادههای مخرب همچنین در ابتدا توسط الگوریتم Base64، سپس با کلید RSA و در نهایت مجددا با الگوریتم Base64 رمزنگاری شدهاند. هکرها در یک حرکت هوشمندانه داخل کدهای اسکریپت را با خطاهایی به زبان محلی پر کردهاند تا تشخیص منبع آن مشکلتر شود. علاوه بر این پیامهای خطا حاوی کلید رمزگشایی بدافزار نیز هستند.
به دنبال استخراج دادهها از تصویر آلوده، یک بار دیگر اسکریپتی در پاورشل ویندوز اجرا شده و دادههای رمزنگاری شده دیگری (با الگوریتم Base64) استخراج میشوند. در انتها و در خفا، برای بار سوم اسکریپت پاورشل دیگری حاوی بدافزار Mimikatz اجرا میشود که به طور ویژه برای سرقت گواهینامههای حسابهای کاربری ویندوز و نیز دسترسی به منابع مختلف در شبکه طراحی شده است. به این ترتیب هکرها میتوانند به تمامی نودهای شبکه دسترسی داشته باشند.
به گفته کسپرسکی تکنیکهای فوق و نیز ماهیت آلودگیها نشان میدهد که این حملات هدفمند بودهاند و احتمال میرود پیمانکاران و شرکتهای صنعتی هدف هکرها بوده باشند. این شرکت همچنین افزوده که حملات علیه هدفهایی در ایتالیا، آلمان و بریتانیا انجام شدهاند.
در صورتی که هکرها موفق به سرقت گواهینامههای کامپیوترهای قربانی شده باشند توانایی انجام فعالیتهای متعددی از جمله سرقت دادههای حساس یا حتی کنترل از راه دور تجهیزات صنعتی را خواهند داشت. کسپرکسی مدعی است این گونه حملات را قبل از این که بیش از این پیشرفت کند متوقف کرده، با این حال هنوز هدف نهایی هکرها مشخص نیست.
منبع:دیجیاتو