וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

וואלה דואר
קרא דואר

טכנולוגיה

/

חדשות

ישראלים, היזהרו: וירוס טרויאני חדש שגונב מידע מתחזה למייל "סודי" מצה"ל

אורן דותן

5.2.2017 / 9:34

מבדיקה שערך מומחה אבטחת המידע, אמיר כרמי, עלה כי הנוזקה מתוכננת להדביק מחשבים של ישראלים והיא יוצרת קשר עם שרת שנמצא בגרמניה. המייל כתוב בעברית ועושה שימוש בשירות העברת הקבצים הפופולרי Wetransfer כדי להתחזות למסמך סודי בעברית

אין תמונה. צילום מסך, מערכת וואלה
מתקפה מתוחכמת שנועדה לגנוב מידע ולא לדרוש כופר./מערכת וואלה, צילום מסך

בשבועיים האחרונים החלו ישראלים לקבל מייל מושקע המוביל לכאורה לקובץ סודי של צה"ל, הניתן להורדה בשירות Wetransfer הפופולרי. הקובץ נראה לרוב המשתמשים כמו מסמך PDF תמים אבל בפועל מדובר בקובץ הפעלה עם סיומת EXE.


לדברי אמיר כרמי, מנהל טכנולוגיות בחברת אבטחת המידע,ESET ישראל, "דף הנחיתה מושקע מאוד. הם לקחו שירות עברת קבצים (Wetransfer) ויצרו במסגרת שלו דף מותאם. שם יש קישור להורדה של 'מסמך סודי', בקובץ ZIP. בתוך קובץ ה ZIP יש קובץ EXE שנראה כמו PDF מבחינת האייקון".

לדברי כרמי, "הווירוס עושה הרבה דברים, בין היתר בודק שפות נתמכות של Windows (כך אפשר לוודא האם הוא הגיע למשתמש ישראלי) ויוצר קשר עם שרת שליטה ובקרה. הנוזקה מתוחכמת ומסווה את עצמה מול כמה הגנות ובפני תוכנות אבטחה.

אין תמונה. צילום מסך, מערכת וואלה
מייל הפישינג מושקע ומכוון נגד ישראלים./מערכת וואלה, צילום מסך

כרמי מפרט כי לאחר ניתוח מעמיק של הסוס הטרויאני במעבדת הווירוסים העולמית של ESET, עלה כי הנוזקה אוספת מהמחשב מידע לגבי שם משתמש, שם מחשב, כתובת IP חיצונית, רשימת קבצים ותיקיות במיקומים מסוימים, מידע על מערכת ההפעלה וההגדרות שלה ומידע על החומרה. הסוס הטרויאני שולח את המידע לשרת שליטה ובקרה שהכינו התוקפים ולאחר שהסוס הטרויאני מתקשר עם השרת יכולים התוקפים להחליט, בהתאם למידע שכבר השיגו, העם לבצע פעולות נוספות כמו גניבה של קבצים מהמחשב, הפעלה של קבצי הרצה, צילום מסך של המחשב מרחוק והשבתה של הליכים שרצים במחשב. הסוס הטרויאני יכול גם לקבל פקודה שתמחק אותו מהמחשב עם סיום הפעולה.

"בהתחשב בפעולות שמבצע הסוס הטרויאני, אין מן הנמנע להסיק שמדובר בהתקפה שמכוונת נגד אזרחים ישראלים ומיועדת לגניבת מידע", מסביר כרמי. "בניגוד להתקפות הנפוצות, בהן התוקפים מנסים להרוויח כסף, כאן נראה שמדובר בהתקפה שנועדה לגניבת מידע רגיש".

sheen-shitof

עוד בוואלה

הצטרפו לוואלה פייבר ותהנו מאינטרנט וטלוויזיה במחיר שלא הכרתם

בשיתוף וואלה פייבר
האקר בסגנון מטריקס. ShutterStock
הנוזקה שואבת מידע רב ומסוגלת להשתלט על מחשב מרחוק./ShutterStock

מבדיקה שערך כרמי עלה כי הנוזקה יוצרת קשר עם שרת שנמצא בגרמניה ומשמש להפצת נוזקות בימים האחרונים. הווירוס יושב בחברת אירוח האתרים: hetzner.de/en ו"בדרך כלל הם עוברים מיקום אחרי שמדווחים עליהם". שם הדומיין של שרת התקיפה הוא myexternalip.com ו הנוזקה שזוהתה על ידי ESET היא: Win32/TrojanDropper.Agent.ROO Trojan. מבחינת פעילות הווירוס, הוא מוריד אחרי ההתקנה נוזקה נוספת (מאפיין של נוזקות מתקדמות כיום) בשם MSIL/Agent.ARP Trojan.

לדברי כרמי, המתקפה הזו קשורה להתקפות קודמות זהות דרך מסמכי PDF כמו שניתן לראות בצילום המסך שהועלה לרשת על ידי גולשים בגרמניה ביום חמישי. שם הקובץ הוא secret_document.pdf.

פישינג PDF גרמניה. ESET, צילום מסך
המתקפה הזו קשורה למתקפה דומה המגיעה משרת בגרמניה./צילום מסך, ESET

התוקפים משתמשים בצה"ל בתור פיתיון ושולחים הודעה כתובה בעברית. אמנם העברית לא לגמרי תקנית, אבל השימוש בכתובות המייל idfreport@gmail.com ו-idfspoke.wetransfer.com גורם לרבים לחשוב שאולי בכל זאת לא מדובר בפישינג.

אם קיבלתם מייל כזה, כמובן שאסור להוריד את הקובץ עם סיומת ZIP, אם כבר הורדתם אז אל תפתחו אותו ואם פתחתם אותו אז אל תפעילו את הקובץ שיש בפנים. בהנחה שכבר נפלתם בפח המתוחכם ונדבקתם, הפעילו תוכנות אנטי-וירוס לנסות לזהות את האיום.

>> לעוד כתבות מעניינות - עקבו אחרינו גם בפייסבוק.

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    3
    walla_ssr_page_has_been_loaded_successfully