مراقب فایل های پیوست باشید!
دروازه های ایمیل و نرم افزارهای امنیتی در تلاش برای انطباق با مبارزات فیشینگ همیشه در حال پیشرفت هستند و به همین دلیل ، عوامل تهدید هنگام فرار از شناسایی به فرمت های فایل غیرمعمول متوسل می شوند .
اخیراً کلاهبردارهای فیشینگ به سمت ایجاد فایلهای پیوست غیرمعمول مانند فایل های ISO یا TAR رفته اند.
جدیداً محققان Trustwave در گزارشی روشی را توضیح داده اند که عوامل تهدید شروع به استفاده از پیوست های WIM (قالب تصویربرداری ویندوز) برای توزیع تروجان دسترسی از راه دور Agent Tesla می کنند.
تمام پرونده های WIM جمع آوری شده حاوی بدافزار Agent Tesla بودند. این تهدید یک Trojan Access Remote (RAT) است که با دات نت نوشته شده است و می تواند کنترل کاملی بر سیستم آسیب دیده داشته باشد و می تواند داده ها را از طریق HTTP ، SMTP ، FTP و تلگرام از بین ببرد.
کمپین های فیشینگ با ایمیل هایی که وانمود می کنند اطلاعات را از DHL یا Alpha Trans ارسال می کنند و شامل پیوست های WIM هستند که برای دور زدن نرم افزارهای امنیتی طراحی شده اند ، راه اندازی می شوند.
قالب تصویربرداری ویندوز (WIM) یک قالب تصویر دیسک مبتنی بر فایل را نشان می دهد که شامل مجموعه ای از پرونده ها و فراداده سیستم فایل مربوطه است.
پرونده های WIM چیست؟
پرونده های WIM می توانند حاوی چندین تصویر دیسک باشند ، و به دلیل استفاده از حافظه ذخیره سازی یک نمونه ، هرچه اشتراک هر تصویر دیسک متوالی با تصاویر قبلی اضافه شده به پرونده WIM بیشتر باشد ، داده های جدید کمتری اضافه می شود.
یک واقعیت جالب در مورد تصاویر WIM این واقعیت است که می توان آنها را بوت (WIMBoot) کرد ، زیرا لودر بوت ویندوز از راه اندازی ویندوز از داخل یک فایل WIM پشتیبانی می کند.
شایان ذکر است که اگرچه پرونده های WIM کمتر قابل شناسایی است ، اما کمپین های فیشینگ که از آنها استفاده می کنند با مشکل بزرگتری روبرو هستند زیرا ویندوز هیچ مکانیسم داخلی برای باز کردن یک پرونده WIM ندارد ، و بنابراین هنگامی که کاربران سعی می کنند آنها را باز کنند فقط با پیامی که از آنها می خواهد برنامه ای برای باز کردن پرونده انتخاب کنند ، استقبال می شود.
این به این معنی است که برای باز شدن پرونده های WIM ، کاربر باید از برنامه خود خارج شود و فایل را با استفاده از برنامه ای مانند 7-Zip استخراج کند و سپس بر روی پرونده موجود در آن دوبار کلیک کند.
می توانیم فرض کنیم که به زودی این پیوست ها توسط دروازه های ایمیل مسدود می شوند ، اما تا آن زمان کاربران باید محتاط باشند.