به گزارش حلقه وصل به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، تروجانهای Ave Maria و Negasteal از طریق ایمیلهای اسپمی مخرب، با محتوای اسناد مالی جعلی یا اسناد جعلی مربوط به شرکتهای حمل و نقل ارسال میشوند.
این تروجانها دارای قابلیتهای ثبت صفحه کلید (keylogging)، تهیه اسکرینشات و ثبت تصاویر وبکم و همچنین دریافت اطلاعات ذخیره شده در کلیپبرد و مرورگرها، هستند.
در صورت اجرای موفق بدافزارها در سیستم آلوده، اطلاعات مورد هدف مانند نامکاربری و گذرواژهها از طریق پروتکلهای HTTP، IMAP، POP۳ و SMTP سرقت میشوند.
برنامههای مورد هدف نیز Microsoft Outlook، Windows Messaging، Internet Explorer، Google Chrome، Foxmail، Thunderbird و Firefox هستند.
علاوه بر این Ave Maria میتواند فایل دلخواه را در سیستم هدف ایجاد و ویرایش، لیست پوشهها، فایلها و فرایندهای پردازشی را دریافت و فرایندهای پردازشی در حال اجرا را متوقف کند.
پژوهشگران TrendMicro میگویند: نسخه RAT استفاده شده در این عملیات دارای قابلیتهای بیشتری نسبت به یک جاسوسافزار است. این بدافزار میتواند کنترلهای UAC را دور بزند و سطح دسترسی خود را افزایش دهد.
تروجانهای استفاده شده در عملیات اسپم مخرب، از یک تروجان جاسوسی معمولی به بدافزارهای RAT خطرناک ارتقا یافتهاند که این امر نشان میدهد، مجرمین سایبری در حال حرکت به سمت انتقال payloadهای مخربتر و سودآورتر مانند باجافزارها هستند.
در این عملیات از فایلهای ISO مبهمسازی شده با AutoIT و همچنین پیوستهای RAR و LZH استفاده شده است تا از شناسایی بدافزار جلوگیری شود. فایلهای ISO میتوانند برای دور زدن فیلترهای اسپم به کار گرفته شوند. از طرفی این فایلها در نسخههای جدیدتر ویندوز به راحتی اجرا میشوند.
اسناد مخرب پس از دانلود، بدافزارهای Negasteal و Ave Maria مبهمسازی شده توسط AutoIT را استخراج میکنند.
کارشناسان معاونت بررسی مرکز افتا از همه کاربران سیستم های رایانه ای میخواهند تا برای در امان ماندن سیستمهایشان از اینگونه تروجانها از باز کردن ایمیلهای ناشناخته خودداری کنند .