مجرمین سایبری در حال انتشار باجافزاری با نام Hermes هستند که از طریق ایمیلهای اسپمی توزیع میشود که مجهز به اسناد Word محافظت شده با رمزعبور هستند. حملات باجافزار Hermes در حال گسترش است و با توسعه و بروزرسانی مداوم آن، درحال هدف قرار دادن کشورهای مختلفی است. در ماههای گذشته، هکرها باجافزار Hermes را از طریق اکسپلویت جدیدی منتشر کردند. نویسندگان این بدافزار ویژگیهای زیادی مانند تغییر روش دریافت کلید تروجان، الگوریتمها، کتابخانههای رمزگذاری و روشهای توزیع را در نسخههای تکامل یافته این باجافزار اضافه کردند. همچنین، تکنیکهای مختلف مبهمسازی نیز در آنها استفاده شده است تا شناسایی بدافزار توسط نرمافزارهای آنتیویروس دور زده شود و بدافزار در سیستم پایدار بماند.
باجافزار Hermes از طریق ایمیلهای اسپم منتشر میشود. ایمیلها با پیام آگهیهای استخدام، همراه با اسناد Word مخرب ارسال میشوند. پس از اینکه کاربر این اسناد را باز کند، رمزعبوری درخواست میشود که در متن ایمیل درج شده است. ایمیلها از آدرسی با دامنه anjanabro.com ارسال میشوند.
پس از باز شدن سند، در یک هشدار امنیتی از کاربر خواسته میشود تا کدهای ماکرو را فعال کند، تا فعالیتهای مخرب سند آغاز شود.
در ادامه یک درخواست HTTP ارسال میشود که فایل باجافزار Hermes را دریافت میکند. پس از اتمام فرایند آلودهسازی، فایلهای قربانی رمزگذاری میشود و یک پیام روی دسکتاپ نمایش داده میشود. در این پیام مهاجم اعلام میکند که الگوریتم رمزگذاری RSA۲۰۴۸ با یک کلید عمومی است و قربانی باید باج خواسته شده را توسط بیتکوین پرداخت کند. همچنین کاربر میتواند یک فایل را برای آزمایش فرایند رمزگشایی بازیابی کند.
IoCها:
