مهاجمان سایبری با ارسال ایمیلهای حاوی اسنادِ در ظاهر حاوی اطلاعات محرمانه، ابزار معتبر دسترسی از راه دور را روی سیستم اهداف خود نصب میکنند و به همین دلیل کارشناسان توصیه میکنند در باز کردن ایمیلهای ارسالی از سوی فرستندگان ناآشنا بسیار محتاطانه عمل کنید.
به اعتقاد کارشناسان، همواره لازم است از پیوندها و پیوستهای ناخواسته خودداری کنید، باید فرستنده ایمیلی که به شما ارسال میشود را بشناسید و به منبعی که از آنجا تهیه میشود، اعتماد کنید. اگر مطمئن نیستید، محتاط باشید و سعی کنید از باز کردن ایمیل از یک منبع و فرستنده ناشناس به طور کلی جلوگیری کنید. اما اگر یک ایمیل ناخواسته را باز کردید، هرگز روی پیوندها کلیک نکنید و اسناد Word را که در ایمیل پیوست شدهاند، باز نکنید. این فایلها میتوانند شما را به یک وبسایت مخرب سوق دهند یا ابزار شما را با ویروس آلوده کنند.
بهتازگی مهاجمان سایبری با استفاده از روش فیشینگ، با ارسال ایمیلهای حاوی اسنادِ درظاهر حاوی اطلاعات محرمانه، ابزار معتبر دسترسی از راه دور را روی سیستم اهداف خود نصب میکنند. قربانیان این حملات جدید سایبری، ایمیلی را دریافت میکنند که در آن مهاجمان برای افزایش شانس به دام افتادن کاربر، با ادعایی دروغین و با درج نشان واقعی یکی از محصولات امنیتی، کاربر را به باز کردن فایل پیوست آن تشویق میکنند. اکثر این ایمیلها در قالب پیامهای بازپرداخت، نقل و انتقالات برخط و صورتحسابهایی از این قبیل است.
مهاجمان در پیوست ایمیل فیشینگ و در فایل ارسالی به این بهانه که حاوی اطلاعات شخصی است از قربانی میخواهند تا برای وارد کردن رمز درجشده در متن ایمیل و رمزگشایی آن، قابلیت ماکرو را در نرمافزار Word فعال کند. در مراحل بعدی، ماکرو اقدام به اجرای فرامینی میکند که در نتیجه آنها با بهکارگیری پروسه معتبر PowerShell یک ابزار دسترسی از راه دور روی سیستم نصب و ماندگار میشود.
ابزار نصبشده نسخهای از NetSupport Manger گزارش شده است. برنامه NetSupport Manger یک ابزار معتبر دسترسی از راه دور است که معمولاً کارکنان بخش فناوری اطلاعات سازمانها برای اتصال از راه دور به سیستمها استفاده میکنند. در حالی که مهاجمان با اجرای NetSupport Manger اهداف مخربی را دنبال میکنند اما با توجه به معتبر بودن این ابزار، محصولات امنیتی و ضدویروس نسبت به آن بهعنوان یک بدافزار واکنش نشان نمیدهند. اگر چه احتمالاً مهاجمان از نسخهای موسوم به کرک استفاده کرده و از کانالهای قانونی آن را خریداری نکردهاند.
پایگاه اینترنتی ZDNet نقل کرده است: هنوز مشخص نیست که انگیزه اصلی مهاجمان از اجرای این کارزار چیست، ممکن است که این افراد قصد سرقت فوری اطلاعات را داشته باشند یا در برنامهای دراز مدت برای رصد ایمیلهای ورودی و خروجی بر روی سیستم آلوده و شناسایی مخاطبان قربانیان را داشته باشند تا بر اساس اطلاعات استخراج شده، حملات هدفمند فیشینگی را برای هک حسابهای کاربری قربانیان انجام دهند.
بر اساس اطلاعات مرکز مدیریت راهبردی افتای ریاست جمهوری، به اعتقاد کارشناسان، از آنجا که موفقیت این کارزار به استفاده از بخش ماکرو در مجموعه نرمافزاری Office بستگی دارد، توصیه میشود که این قابلیت در حالت دائماً غیر فعال قرار داده شود. مرکز افتا همچنین از کاربران خواسته است تا در باز کردن ایمیلهای ارسالی از سوی فرستندگان ناآشنا بهخصوص در زمانی که در آنها از موارد اضطراری صحبت میشود، بسیار محتاطانه عمل کنند.