[email protected] +374 95 93 83 63
Վերլուծություն

Հարձակման նկարագրություն. ֆիշինգ և վնասաբեր ծրագրի տարածում Razer ընկերության հովանավորչական առաջարկի միջոցով

02 Ապր 2025

Ամսաթիվ: 18 դեկտեմբերի, 2024թ
 Թիրախ: Նարեկ Կիրակոսյան, հայ լրագրող
 Սպառնալիքի մակարդակ. Բարձր (մակարդակ 1)
 Հաղորդում է. CyberHUB-AM

Ամփոփում

2024 թվականի դեկտեմբերի 18-ին հայտնի հայ լրագրող Նարեկ Կիրակոսյանի դեմ բարդ ֆիշինգային հարձակում է իրականացվել։ Հարձակվողները անձնավորել են Razer Inc. ընկերությանը, որը էլեկտրոնիկա և համակարգչային խաղային սարքավորումներ արտադրող հայտնի ընկերություն է։ Հարձակվողները փորձել են կեղծ գովազդային առաջարկի միջոցով տարածել վնասաբեր ծրագիր, սակայն լրագրողը ժամանակին կողմնորոշվել և դիմել է CyberHUB-AM–ին՝ հարձակումը հետաքննելու խնդրանքով:

Հարձակման մանրամասները

  • Ֆիշինգի. Հարձակվողները նամակ են ուղարկել [email protected] հասցեից։ Դոմենային տիրույթը նմանակում է իրական՝ razer.com տիրույթը: Էլփոստը պարունակում էր մանրամասն հովանավորության առաջարկ, ներառյալ ենթադրյալ համագործակցության օրինակների հղումներ և մեդիա փաթեթ:
  • Վնասակար հղումներ. Նամակը ներառում էր կրճատված URL (https://bit.ly/RazerPromoKit), որը տանում էր դեպի Dropbox-ում տեղակայված վնասակար արխիվ:
  • Չարամիտ ծրագիր. Արխիվը պարունակում էր երկու վնասակար ֆայլ.
  • msimg32.dll (SHA256:693cc086089277f083b680ed822d988c2ea80483bd40caff202adccaa736bce4)
  • Razer — Պայմանագիր և վճարման պայմաններ գործընկերների համար YouTube URL version.exe-ում (SHA256: 08c7fb6067acc8ac207d28ab616c9ea5bc0d394956455d6a3eecb73f8010f7a2)

Հարձակման ցուցիչներ (IOC)

  • Էլփոստի աղբյուրը. [email protected]
  • Էլփոստի նպատակակետը. n[][][][][][][][][]@gmail.com
  • Կեղծ տիրույթ. razer-us.com (Գրանցված է 2024 թվականի դեկտեմբերի 12-ին)
  • Փոստի սերվերի IP. 198.54.127.77
  • Հոսթինգ սերվերի IP. 198.54.118.220
  • Վնասակար ֆայլերի անուններ.
  • msimg32.dll
  • Razer — Պայմանագիր և վճարման պայմաններ գործընկերների համար YouTube URL version.exe-ում
  • Ֆայլի հեշեր.
  • msimg32.dll (MD5: 0d61f3fe33123d0fdc20a7db2c969c4f)
  • Razer — Պայմանագիր և վճարման պայմաններ գործընկերների համար YouTube URL version.exe-ում (MD5: 4864a55cff27f686023456a22371e790)
  • VirusTotal վերլուծության հղումներ.
  • msimg32.dll
  • Razer — Պայմանագիր և վճարման պայմաններ գործընկերների համար YouTube URL version.exe-ում

Վերլուծություն:

Հարձակվողները օգտագործել են սոցիալական ինժեներական տեխնիկան՝ համոզիչ ֆիշինգային էլ. կեղծ տիրույթի օգտագործումը, որը շատ նման է օրինական Razer տիրույթին, վստահություն է ավելացրել հարձակմանը: Վնասակար ֆայլերի ընդգրկումը, որոնք քողարկված են որպես օրինական փաստաթղթեր, նպատակաուղղված են վտանգի ենթարկել թիրախային համակարգը ներբեռնման և կատարման ժամանակ:

Առաջարկություններ.

  • Էլփոստի անվտանգություն. Իրականացնել էլփոստի զտման և ֆիշինգի հայտնաբերման առաջադեմ մեխանիզմներ:
  • Օգտագործողի տեղեկացվածություն. Պարբերաբար դասընթացներ անցկացրեք ֆիշինգի փորձերը ճանաչելու և էլ. նամակների իսկությունը ստուգելու վերաբերյալ:
  • Ցանցի անվտանգություն. Վերահսկեք ցանցի տրաֆիկը կասկածելի գործունեության համար և արգելափակեք մուտքը հայտնի վնասակար տիրույթներ և IP հասցեներ:
  • Վերջնակետի պաշտպանություն. Համոզվեք, որ առկա են հզոր հակավիրուսային և հակավիրուսային լուծումներ՝ սպառնալիքները հայտնաբերելու և մեղմելու համար: