מיילים אשר מיועדים למשתמשים ארגוניים נראים כאילו הגיעו ממרכז רישוי התוכנה של מיקרוסופט מכילים קוד עויין מתוחכם אשר ביכולתו לעקוף מערכות ההגנה הארגוניות...
בהודעת האי-מייל, אשר נראית כהודעה אשר הגיעה מ-Microsoft Volume Licensing Service Center (VLSC), מתבקשים הנמענים ללחוץ על לינק בגוף המייל אשר אמור להוביל להורדת פרטי רישום הרישוי של הלקוח. ההודעה עצמה דומה מאוד להודעות האמיתיות אשר מגיעות ממיקרוסופט.
הלינק עצמו נראה כמו לינק של מיקרוסופט, אולם כמובן ש"ריחוף" מעליו חושף את הכתובת האמיתית - שהיא כמובן שונה לחלוטין ולא שייכת כלל למיקרוסופט. לחיצה על הלינק תוביל אל דף הנראה דומה מאוד לדף ה-Login של אתר Microsoft VLSC אולם בנוסף יתבקש המשתמש להוריד קובץ ZIP (אשר גם במקרה זה, מרבית הסיכויים הם שהמשתמש לא יבחין שמקורו לא באתר השייך למיקרוסופט).
במידה והמשתמש יאשר את הורדת הקובץ (דבר אשר בסבירות גבוהה אכן יקרה) - יורד אל מחשבו תוכן הקובץ, אשר מכיל קובץ EXE בעל סיומת SCR (שומר מסך) - ופתיחה שלו תגרום להורדת נוזקה בשם Chanitor אשר תחל בביצוע פעילויות עויינות שונות על מחשב המשתמש שהותקף.
לאחר התקנתה, פונה הנוזקה אל שרת השליטה והבקרה שלה (Command-and-control Server) הנמצא באינטרנט, וממנו היא מורידה סוס טרויאני אשר מטרתו ככל הנראה הינה לגנוב את סיסמאות המשתמשים ולאחר מכן לשלוח אותן החוצה אל שרת השליטה והבקרה.
הנוזקה מתוכננת לעשות שימוש במספר טכניקות בכדי לחמוק מזיהוי ע"י מערכות Sandbox, באמצעות ניסיונות לזיהוי תהליכים (Processes) ספציפיים אשר מותקנים על גבי המחשב המותקף, ואף כיבוי עצמי לזמן ארוך במידת הצורך - כל זאת בכדי לחמוק מגילוי ע"י מערכות אלו.
בנוסף, התקשורת של הנוזקה אל מול שרת השליטה שלה מבוצעת דרך רשת Tor - אשר מונעת את האפשרות להתחקות אחר מאפייני ה-Routing שלה ולזהות את כתובתו של שרת ה-Command-and-Control.
יש להדגיש כי תקיפה זו - על אף רמת התיחכום הגבוהה של הנוזקות המותקנות במהלכה - הינה תקיפת פישינג סטנדרטית לחלוטין; עוד יש להדגיש את העובדה כי התקנה של הנוזקה ע"ג מחשבי המשתמשים מחייבת פעילות אקטיבית מצידם (הורדת קובץ ה-ZIP) והפעלת הקובץ שהוא מכיל.
על כן מודגשת שוב החשיבות הרבה במודעות העובדים לנושאי אבטחת מידע בכלל, ולנושא תקיפות פישינג באמצעות אי-מיילים בפרט.
לידיעה המלאה - כאן
לפירוט נוסף - כאן