کلیات          

در حال حاضر که به دلیل بیماری همه‌گیر COVID-19، تمام دنیا در حال تعطیلی هستند، برای مجرمان سایبری فرصت‌های بسیاری فراهم شده است تا جاییکه اخیراً مهاجمان سایبری تمام بانک‌های تعاونی در هند را هدف قرار داده‌اند. محققان از فعالیت‌های جدیدی پرده برداشتند که در آن مهاجمان از موج تجدید شده "Adwind Java RAT" برای شروع حملات علیه بانک‌های تعاونی در هند استفاده کرده‌اند.

بانک‌های تعاونی، بانک‌هایی هستند که از نظر اندازه کوچک بوده و به طور کلی هیچ تیم بزرگی آموزش‌دیده در زمینه فناوری اطلاعات و امنیت سایبری ندارند که بتواند این قبیل حملات سایبری را کنترل کند.

درست مانند سایر حملات سایبری با موضوعCOVID-19 ، کمپین Java RAT نیز فعالیت خود را با یک ایمیل فیشینگ آغاز می‌کند اما در اینجا، تفاوت این است که ایمیل‌های فیشینگی که مهاجم برای قربانیان خود ارسال می‌کند، مدعی ارسال از بانک Reserve هند یا هر موسسه بزرگ بانکی دیگری در این کشور است.

سامانه‌ها/خدمات تحت‌تأثیر

این کمپین‌های مخرب می‌توانند تأثیر مستقیمی بر بانک‌ها و مشتریان‌شان داشته باشند. در نتیجه، بازیگران سایبری به راحتی می‌توانند  اطلاعات مشتریان و جزئیات مهم زیرساخت‌های مالی بانک‌ها را سرقت کنند.

تشریح

پرونده مخربJAR ، که توسط مهاجمان برای قربانیان ارسال می‌شود، یک تروجان از راه دور است و به همین دلیل مهاجمان می‌توانند به راحتی آن‌ها را در رایانه‌های شخصی ویندوز، لینوکس و مک که جاوا نصب شده است، اجرا می‌کنند.

بار مخرب با تغییر کلید رجیستری خود را تحمل می‌کند و سپس payload، پرونده JAR را در٪ appdata٪ رها می‌کند و همه این‌ موارد بطور خودکار هنگامی که کاربر به طور دستی پیوست ارسال شده توسط مهاجم را باز کند، اتفاق می‌افتد. برای دور زدن تشخیص آنتی‌ویروس‌ها، این پرونده مخرب JAR، حاوی چندین لایه رمزگذاری و برنامه‌نویسی پیچیده است.

هنگامی که پرونده مخرب JAR در سیستم قربانی اجرا شد، آن را به طور خودکار به یک ابزار مدیریت از راه دور (JRAT) تبدیل می‌کند که به مهاجمان اجازه می‌دهد انواع مختلفی از فعالیت‌های مخرب زیر را انجام دهند:

• این Backdoor می‌تواند با ارسال دستورات، پایداری آن را ایجاد یا حذف کند.
• Adwind RAT قادر است از راه دور دسکتاپ قربانی را کنترل کند.
• مهاجم از robot class برای کنترل ماوس و صفحه‌کلید با ارسال دستورات از یک دستگاه از راه دور استفاده کرده و از کامپیوتر قربانی اسکرین‌شات تهیه می‌کند.
• Backdoor ها اغلب منجر به سرقت اعتبار برای زیرساخت‌های مهم مالی می‌شوند.

مشخصه‌های شناسایی

حملات سایبری در بانک‌ها می‌تواند منجر به سرقت کلیه اطلاعات مشتری و جزئیات مهم زیرساخت‌های مالی شود.

در اینجا برخی از اسامی مورد استفاده در پیوست‌های کمپین Java RAT  آورده شده است:

موضوعات ایمیل:

• فوری - الگوی نظارت بر اقدامات COVID
• گزارش پرس و جو برای RBI INSPECTION
• مهلت قانونی
• FMR returns
• مشاوره ارزیابی - MH-603
• [874890897] – MIS for NEFT/RTGS, 06-04-2020 [1]
• فرم DI

نام فایل‌های پیوست:

• Covid_19_measures_Monitoring_Template-Final_xlsx.zip
• NSBL-AccListOnTheBasisOfKYCData_0600402020_pdf.zip
• Gazette notification&RBI_Directives_file-00000120_pdf.zip
• Fmr-2_n_fmr_3_file_000002-pdf.zip
• MON01803_DIC_pdf.zip
• FIXEDCOMPNULL_xls.zip
• SHRIGOVARDHANSING0023JI001_pdf.zip
• DI_form_HY_file_00002_pdf .zip

راهکار

شرکت امنیتی Quick Heal اکیداً به کاربران توصیه کرده است که اقدامات امنیتی لازم را انجام دهند و از باز کردن پیوست های ضمیمه شده در ایمیل از منابع ناشناخته خودداری کنند.