Goldmouse و حمله به خاورمیانه

Goldmouse aka APT-C-27 targets the Middle East

گروه  Goldmouse(معروف به  APT-C-27) برنامه مخرب خود را تحت عنوان backdoor njRAT  منتشر کرده است، این بدافزار از اسناد مخربword  برای حمله استفاده می‌کند.

اندکی پس از اینکه WinRAR یک مشکل امنیتی قدیمی را اصلاح کرد، مجرمان سایبری سراغ کاربرانی رفتند که هنوز بروزرسانی راانجام ندادند. Goldmouse یکی از گروه‌های سایبری است که از این مشکل امنیتی برای حملات خود استفاده کردند.

Goldmouse منطقه خاورمیانه را مورد هدف قرار داده‌اند و طبق گزارش‌های رسیده از مرکز اطلاعات امنیت 360، Goldmouse  درحال تکثیر برنامه‌های مخرب خود در خاورمیانه است.

Goldmouse  در حملات خود از اسنادWord  استفاده می‌کند، اسناد حاوی یک پیام در رابطه با حملات تروریستی است که کاربران را فریب می دهد تا اسناد word را با WINRAR از قالب فشرده شده خارج کند  و به این روش بدافزار  اجرا می‌شود. برنامه مخرب، به شکل فایل اجرایی Telegram Desktop.exe در سیستم کاربر مخفی شده و اگر کاربر دوباره سیستم را راه اندازی کند بدافزار،  فایروال را خاموش و keylogger را نیز ایجاد می‌کند و سپس به سرور مرکزی مهاجم متصل می‌شود. بدافزار سیستم کاربر را از راه دور تحت کنترل می‌گیرد.

محققان همچنین چندین برنامه مخرب اندرویدی را نیز شناسایی کردند. بدافزارها با عنوان‌ برنامه‌های معروف اندرویدی مثل Office به سیستم کاربر نفوذ کرده و دستگاه را در اختیار می‌گرفتند.

Goldmouse aka APT-C-27 targets the Middle East by leveraging WinRAR’s dated security bug