هکرها شریک انحصاری ESET در اسرائیل رو هک کردن و ازش برای توزیع Wiper برای هدف قرار دادن کسب و کارهای اسرائیلی، استفاده کردن.
بدافزارهای Wiper یا پاک کننده داده، بدافزارهایی هستن که از تکنیکهای مختلف برای پاک کردن داده ها در سیستم قربانی استفاده میکنن.
این کمپین، 8 اکتبر با ارسال یسری ایمیل فیشینگ با لوگو ESET و دامنه ی قانونی eset.co.il شروع شده.
این نشون میده که سرور ایمیل بخش اسرائیل هک شده. ESET گفته که این دامنه توسط Comsecure، توزیع کننده اسرائیلی، مدیریت میشه.
در این ایمیل فیشینگ اعلام شده که ESET Advanded Threat Defense Team یک بازیگر تهدید تحت حمایت دولت رو شناسایی کرده. دستگاه شما هم در لیست قربانیان این بازیگر هستش.
طبق داده های ESET Threat Intelligence دستگاه شما توسط یک بازیگر تهدید با انگیزه ی ژئوپلتیک در 14 روز اخیر هدف قرار گرفته. ESET بعنوان یک اقدام دفاعی، برنامه ی ESET Unleashed، که برای شناسایی تهدیدات پیشرفته طراحی شده رو در اختیار شما قرار میده که میتونید روی حداکثر 5 کامپیوتر نصبش کنید.
مهاجم برای اعتماد سازی بیشتر فایل رو هم روی همین دامنه قرار داده.
1 |
https://backend.store.eset.co[.]il/pub/2eb524d79ce77d5857abe1fe4399a58d/ESETUnleashed_081024.zip |
با بررسی هدر ایمیل فیشینگ، مشخص شده که ایمیل از سرور قانونی eset.co.il با عبور از تست های احرازهویت SPF, DKIM,DMARC ارسال شده.
فایل فشرده حاوی 4 DLL و یک فایل EXE هستش. 4 فایل DLL، فایلهای قانونی آنتی ویروس ESET هستن و امضای ESET رو هم دارن. اما فایل Setup.exe بدون امضاء و بدافزار پاک کننده داده هستش.
محقق امنیتی Kevin Beaumont این بدافزار رو در یک سیستم واقعی تونسته اجرا کنه، در ماشین مجازی اجرا نشده، و اعلام کرده که بدافزار از تکنیکهای مختلفی برای فرار از شناسایی استفاده میکنه. داخلش یک Mutex مربوط به باج افزار گروه Yanluowang هم وجود داره.
در حال حاضر مشخص نیست که چند شرکت در این کمپین قربانی شدن یا اصلا Comsecure توزیع کننده اسرائیلی ESET چطوری نقض شده. همچنین گروه خاصی هم مسئولیت این حملات رو به عهده نگرفته.