בשבועיים האחרונים החלו ישראלים לקבל מייל מושקע המוביל לכאורה לקובץ סודי של צה"ל, הניתן להורדה בשירות Wetransfer הפופולרי. הקובץ נראה לרוב המשתמשים כמו מסמך PDF תמים אבל בפועל מדובר בקובץ הפעלה עם סיומת EXE.
לדברי אמיר כרמי, מנהל טכנולוגיות בחברת אבטחת המידע,ESET ישראל, "דף הנחיתה מושקע מאוד. הם לקחו שירות עברת קבצים (Wetransfer) ויצרו במסגרת שלו דף מותאם. שם יש קישור להורדה של 'מסמך סודי', בקובץ ZIP. בתוך קובץ ה ZIP יש קובץ EXE שנראה כמו PDF מבחינת האייקון".
לדברי כרמי, "הווירוס עושה הרבה דברים, בין היתר בודק שפות נתמכות של Windows (כך אפשר לוודא האם הוא הגיע למשתמש ישראלי) ויוצר קשר עם שרת שליטה ובקרה. הנוזקה מתוחכמת ומסווה את עצמה מול כמה הגנות ובפני תוכנות אבטחה.
כרמי מפרט כי לאחר ניתוח מעמיק של הסוס הטרויאני במעבדת הווירוסים העולמית של ESET, עלה כי הנוזקה אוספת מהמחשב מידע לגבי שם משתמש, שם מחשב, כתובת IP חיצונית, רשימת קבצים ותיקיות במיקומים מסוימים, מידע על מערכת ההפעלה וההגדרות שלה ומידע על החומרה. הסוס הטרויאני שולח את המידע לשרת שליטה ובקרה שהכינו התוקפים ולאחר שהסוס הטרויאני מתקשר עם השרת יכולים התוקפים להחליט, בהתאם למידע שכבר השיגו, העם לבצע פעולות נוספות כמו גניבה של קבצים מהמחשב, הפעלה של קבצי הרצה, צילום מסך של המחשב מרחוק והשבתה של הליכים שרצים במחשב. הסוס הטרויאני יכול גם לקבל פקודה שתמחק אותו מהמחשב עם סיום הפעולה.
"בהתחשב בפעולות שמבצע הסוס הטרויאני, אין מן הנמנע להסיק שמדובר בהתקפה שמכוונת נגד אזרחים ישראלים ומיועדת לגניבת מידע", מסביר כרמי. "בניגוד להתקפות הנפוצות, בהן התוקפים מנסים להרוויח כסף, כאן נראה שמדובר בהתקפה שנועדה לגניבת מידע רגיש".
מבדיקה שערך כרמי עלה כי הנוזקה יוצרת קשר עם שרת שנמצא בגרמניה ומשמש להפצת נוזקות בימים האחרונים. הווירוס יושב בחברת אירוח האתרים: hetzner.de/en ו"בדרך כלל הם עוברים מיקום אחרי שמדווחים עליהם". שם הדומיין של שרת התקיפה הוא myexternalip.com ו הנוזקה שזוהתה על ידי ESET היא: Win32/TrojanDropper.Agent.ROO Trojan. מבחינת פעילות הווירוס, הוא מוריד אחרי ההתקנה נוזקה נוספת (מאפיין של נוזקות מתקדמות כיום) בשם MSIL/Agent.ARP Trojan.
לדברי כרמי, המתקפה הזו קשורה להתקפות קודמות זהות דרך מסמכי PDF כמו שניתן לראות בצילום המסך שהועלה לרשת על ידי גולשים בגרמניה ביום חמישי. שם הקובץ הוא secret_document.pdf.
התוקפים משתמשים בצה"ל בתור פיתיון ושולחים הודעה כתובה בעברית. אמנם העברית לא לגמרי תקנית, אבל השימוש בכתובות המייל idfreport@gmail.com ו-idfspoke.wetransfer.com גורם לרבים לחשוב שאולי בכל זאת לא מדובר בפישינג.
אם קיבלתם מייל כזה, כמובן שאסור להוריד את הקובץ עם סיומת ZIP, אם כבר הורדתם אז אל תפתחו אותו ואם פתחתם אותו אז אל תפעילו את הקובץ שיש בפנים. בהנחה שכבר נפלתם בפח המתוחכם ונדבקתם, הפעילו תוכנות אנטי-וירוס לנסות לזהות את האיום.
>> לעוד כתבות מעניינות - עקבו אחרינו גם בפייסבוק.