انتشار بدافزار Love Letter با استفاده از ایمیل در قالب نامه های عاشقانه

انتشار بدافزار Love Letter  با استفاده از ایمیل در قالب نامه های عاشقانه

مهاجمان در حملات گسترده هرزنامه ای، که به “نامه عاشقانه” (Love Letter) معروف شده در حال آلوده سازی دستگاه ها به انواع بدافزارها، از جمله باج افزارها هستند.
پیوست هرزنامه های ارسالی فایل ZIP است که در آن‌ یک فایل مخرب JavaScript قرار دارد.
فایل JavaScript که محتوای آن برای بی‌ اثرکردن یا حداقل دشوار نمودن فرآیند شناسایی مبهم سازی (Obfuscate) شده است فرمانی را از طریق پروسه معتبر PowerShell به اجرا درمی آورد. وظیفه فایل مذکور دریافت فایلی مخرب بانام krablin.exe از سایت slpsrgpsrhojifdij[.]ru، ذخیره آن تحت نام winsvcs.exe در مسیر [UserProfile%\[number%\ و سپس اجرا نمودن بر روی دستگاه قربانی است.
 

                                         

در ادامه winsvcs.exe خود نیز تلاش می کند تا پنج بدافزار دیگر را دریافت کرده و سپس آن ها را اجرا کند. باج افزار GandCrab، استخراج کننده XMRig و ارسال کننده هرزنامه Phorpiex نمونه هایی از این بدافزارها گزارش‌شده اند.
winsvcs.exe حافظه های جداشدنی (Removable Storage) متصل به دستگاه را هم آلوده کرده و عملاً آن‌ها را به ناقل بدافزار تبدیل می‌کند.

                                           
 
عناوین استفاده‌شده در هرزنامه های مذکور به شرح زیر می باشد:

: ) 
; ) 
: D 
I love you 
    My letter just for you 
 Please read and Reply 
 Wrote this letter for you 
Just for you! 
This is my love letter to you 
My love letter for you 
         Wrote my thoughts down about you 
Wrote the fantasy about us down 
Felt in love with you! 
Always thinking about you 
You are my love! 

موارد زیر نیز فهرست ایمیل هایی است که در قسمت From این هرزنامه ها مشاهده‌ شده اند:

  Teddy Bailey < Teddy31[@]8038.com >
  Imogene Carter < Imogene99[@]0354.com >
  Imelda Jones < Imelda31[@]1529.com >
  Ted Hall < Ted93[@]4302.com >
  Deanne Harris < Deanne11[@]5387.com >
  Bob Ross < Bob01[@]0437.com >
  Teddy Gonzalez < Teddy21[@]8381.com >
  Bradford Reed < Bradford99[@]2804.com >
  Taylor Phillips < Taylor74[@]4656.com >
  Deena Hernandez < Deena49[@]1659.com >

با توضیح این که فایل های مخرب JavaScript مورداشاره در این مطلب بانام های زیر قابل‌ شناسایی می باشند:

Bitdefender:  
   – JS:Trojan.Cryxos.1925 
   – Trojan.Agent.DNBH 
   – Trojan.GenericKD.31505957 
McAfee: 
   – JS/Nemucod.zw 
Sophos: 
    – JS/DwnLdr-XCT 
   – JS/DwnLdr-XCS 

چگونگی جلوگیری از این تهدیدات
  استفاده از نرم افزار رنسام پاد
  به‌ کارگیری محصولات ضد هرزنامه (Anti-spam)
  کنترل حافظه های جداشدنی
  آگاهی رسانی به کاربران در خصوص خطرات باز کردن لینک ها و اجرای فایل های ناآشنا