rssyoutubefg

טרויאני חדש מתחזה לצה"ל ודולה מידע רגיש

אמיר כרמי
06.02.17

בהתקפה מהימים האחרונים, נשלח קישור לישראלים שמותאם לעברית ועם מאפיינים של מסמך מסווג של צה"ל, על מנת לפתות את הקורבנות לפתוח את הקובץ. בפועל מדובר בסוס טרויאני שנועד לגניבת מידע מאזרחים ישראליים.

ניתן לראות שבפועל הקישור נשלח מג'ימייל, ושהעברית אינה מושלמת:

idf spam

הקישור נשלח דרך שירות שיתוף קבצים שנקרא Wetransfer, ומנצל את האפשרות לעריכה של מסרים מותאמים אישית דרכו. כאשר נכנסים לקישור דרך לחיצה על כפתור "download" מועברים לדף הנחיתה שהוכן ע"י התוקפים:

WeTransfer

בדף הנחיתה יש קישור להורדה של "מסמך סודי", עם סיומת ZIP.
בתוך קובץ ה ZIP יש קובץ EXE שנראה כמו PDF מבחינת האייקון – כמובן שמשתמשים ממוצעים שלא מציגים סיומות של קבצים במחשב לא יראו את הסיומת האמיתית:

מסמך סודי

עם הפעלת קובץ ה EXE, מופעל השלב הראשון של ההתקפה, שהוא ה Dropper שמיועד להוריד את הטרויאני עצמו. מוצרי ESET מזהים אותו בתור:
Win32/TrojanDropper.Agent.ROO Trojan
לשם כך הוא יוצר קשר עם שרת שליטה ובקרה שיושב כרגע בגרמניה, שהדומיין שלו נקרא myexternalip.com.
השרת מאורח ע"י חברת אירוח אתרים גרמנית:
https://www.hetzner.de/en/

כדי להטעות את המשתמש עוד יותר, פותח ה dropper קובץ PDF שהוא מוריד משרת השליטה והבקרה שנקרא "secret-document.pdf". הקובץ נראה כמו מסמך שנסרק ושייך לרבנות הראשית:

בית דין רבני

בשלב זה מורד הטרויאני למחשב הקורבן, ומתחיל באיסוף מידע. מוצרי ESET מזהים אותו בתור:
MSIL/Agent.ARP Trojan

גניבת מידע

הנוזקה אוספת את המידע הבא מהמחשב:

שם משתמש
שם מחשב
כתובת IP חיצונית
רשימת קבצים ותיקיות במיקומים מסוימים
מידע על מערכת ההפעלה וההגדרות שלה
מידע על החומרה
הסוס הטרויאני שולח את המידע לשרת שליטה ובקרה שהכינו התוקפים.

ביצוע פעולות נוספות

לאחר שהסוס הטרויאני מתקשר עם שרת השליטה והבקרה, יכולים התוקפים להחליט, בהתאם למידע שכבר השיגו מהמטרה, לבצע פעולות נוספות:

העברה (גניבה) של קבצים מהמחשב
הפעלה של קבצי הרצה
צילומי מסך
השבתה של הליכים שרצים במחשב
הסוס הטרויאני יכול גם לקבל פקודה שתמחק אותו מהמחשב עם סיום הפעולות.

למידע טכני מפורט יותר אודות הפעולות שמבצע הטרויאני.

בהתחשב בפעולות שמבצע הסוס הטרויאני, אין מן הנמנע להסיק שמדובר בהתקפה שמכוונת נגד אזרחים ישראלים ומיועדת לגניבת מידע.
בניגוד להתקפות הנפוצות, בהן התוקפים מנסים להרוויח כסף מן ההתקפה, כאן נראה שמדובר בהתקפה שנועדה לגניבת מידע רגיש.

 

  • הדפס
  • דוא"ל

השאר תגובה

להשארת תגובה מלאו את השדות הבאים

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2018, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום