گروه Goldmouse(معروف به APT-C-27) برنامه مخرب خود را تحت عنوان backdoor njRAT منتشر کرده است، این بدافزار از اسناد مخربword برای حمله استفاده میکند.
اندکی پس از اینکه WinRAR یک مشکل امنیتی قدیمی را اصلاح کرد، مجرمان سایبری سراغ کاربرانی رفتند که هنوز بروزرسانی راانجام ندادند. Goldmouse یکی از گروههای سایبری است که از این مشکل امنیتی برای حملات خود استفاده کردند.
Goldmouse منطقه خاورمیانه را مورد هدف قرار دادهاند و طبق گزارشهای رسیده از مرکز اطلاعات امنیت 360، Goldmouse درحال تکثیر برنامههای مخرب خود در خاورمیانه است.
Goldmouse در حملات خود از اسنادWord استفاده میکند، اسناد حاوی یک پیام در رابطه با حملات تروریستی است که کاربران را فریب می دهد تا اسناد word را با WINRAR از قالب فشرده شده خارج کند و به این روش بدافزار اجرا میشود. برنامه مخرب، به شکل فایل اجرایی Telegram Desktop.exe در سیستم کاربر مخفی شده و اگر کاربر دوباره سیستم را راه اندازی کند بدافزار، فایروال را خاموش و keylogger را نیز ایجاد میکند و سپس به سرور مرکزی مهاجم متصل میشود. بدافزار سیستم کاربر را از راه دور تحت کنترل میگیرد.
محققان همچنین چندین برنامه مخرب اندرویدی را نیز شناسایی کردند. بدافزارها با عنوان برنامههای معروف اندرویدی مثل Office به سیستم کاربر نفوذ کرده و دستگاه را در اختیار میگرفتند.
Goldmouse aka APT-C-27 targets the Middle East by leveraging WinRAR’s dated security bug