مهاجمان سایبری با استفاده از نسخه جدیدی از یک جاسوسافزار قدیمی به نام Separ اطلاعات ۲۰۰ شرکت را در ده کشور سرقت کردند.
تمامی دادههای جمعآوری شده این جاسوس افزار، با استفاده از پودمان FTP به یک سرویسدهنده رایگان میزبانی وب به نشانی freehostia []com ارسال میشود.
بدافزار Separ دادههای ثبت ورود (Login) را از مرورگرها و نرمافزارهای مدیریتکننده ایمیل استخراج کرده و به همراه مستندات و تصاویر با پسوندهای خاص به مهاجمان ارسال میکند.
جاسوس افزار Separ از قابلیت Autorun برای ماندگار کردن خود بعد از راهاندازی سیستم قربانی استفاده میکند.
مهاجمان این کارزار از ایمیلهای فیشینگ هدفمند (Spear-phishing) که کدهایی مخرب در قالب فایل PDF به آنها پیوست شده برای رخنه به سیستمها و آلودهسازی آنها به بدافزار بهره میگیرند.
در این عملیات جاسوسی سایبری، تاکنون حداقل ۲۰۰ دستگاه در حدود ۱۰ کشور قربانی و آلوده شده است که نزدیک به ۶۰ درصد از این قربانیان شرکتهایی در کره جنوبی هستند که در حوزه مهندسی، ساختوساز، فولاد، مواد شیمیایی و ساخت لوله و شیرآلات فعالیت دارند.
تایلند و چین به ترتیب با ۱۲.۹ و ۵.۹ درصد در جایگاههای دوم و سوم کشورهای آلوده به این عملیات جاسوسی سایبری قرار دارند. ژاپن، اندونزی، ترکیه، اکوادور، آلمان و انگلیس دیگر قربانیان این حملات هستند.
ایمیلهای فیشینگ ارسالی از سوی این مهاجمان به نحوی خاص و حرفهای، ویژه هر هدف طراحی شده است. در یکی از آنها این طور وانمود شده که ارسالکننده کارمند یکی از شرکتهای تابعه زیمنس است و درخواست پیشنهاد قیمت برای طراحی نیروگاهی در جمهوری چک را دارد. در پیوست پیام ارسالی این مهاجم سایبری، نمودار و مقالهای فنی (که البته بهصورت عمومی در اینترنت نیز قابل دسترس است) در خصوص نحوه راهاندازی یک پالایشگاه تولید بنزین به چشم میخورد.
یا در یک درخواست پیشنهاد قیمت جعلی دیگر، مهاجم به ساخت یک نیروگاه ذغالسنگ در اندونزی اشاره و تظاهر میکند که از بخش مهندسی یک شرکت صاحبنامِ خوشهای در ژاپن ایمیل ارسال شده است.
کارشناسان معاونت بررسی مرکز افتا از همه کاربران خواستهاند تا ایمیلهای ناشناس را بههیچ وجه باز نکنند تا در دام ایمیلهای فیشینگ گرفتار نشوند.