به گزارش کارگروه حملات سایبری سایبربان؛ تیم واکنش اضطراری رایانهای اوکراین (CERT-UA) نسبت به موج جدیدی از کمپینهای مهندسی اجتماعی که بدافزار IcedID را ارائه میدهند و از آسیبپذیریهای زیمبرا (Zimbra) با هدف سرقت اطلاعات حساس استفاده میکنند، هشدار داده است.
این آژانس با نسبت دادن حملات فیشینگ IcedID به یک گروه هکری به نام UAC-0041، گفت که روند آلودگی با یک ایمیل حاوی یک سند مایکروسافت اکسل (Мобілізаційний реєстр.xls یا Mobilization Register.xls) شروع میشود که پس از باز شدن، از کاربران میخواهد تا ماکروها را فعال کنند که درنتیجه منجر به استقرار بدافزار IcedID میشود.
این بدافزار سرقت اطلاعات که با نام بوک بات (BokBot) نیز شناخته میشود، از مسیری مشابه TrickBot، Emotet و ZLoader پیروی کرده و از ریشههای قبلی خود بهعنوان یک تروجان بانکی به یک سرویس جرم افزار تمامعیار تبدیل شده است که بازیابی بدافزارهای مرحله بعدی مانند باج افزار را تسهیل میکند.
مجموعه دوم نفوذهای هدفمند مربوط به یک گروه هکری جدید به نام UAC-0097 است که ایمیلی حاوی تعدادی تصویر با سربرگ Content-Location ارسال میکند که به یک منبع وب میزبان کد جاوا اسکریپت پیوند میخورد که باعث سوءاستفاده از آسیبپذیری CVE-2018-6882 نرمافزار زیمبرا میشود.
در مرحله آخر زنجیره حمله، جاوا اسکریپت تزریقشده ایمیلهای قربانیان را به یک ایمیل تحت کنترل هکر ارسال میکند که نشاندهنده یک کمپین جاسوسی سایبری است.
