انتقال و توزیع بدافزار WhiteShadow از طریق ایمیل‌های فیشینگ

به‌گزارش خبرگزاری صدا و سیما به نقل از روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری به نقل از پایگاه اینترنتی ZDNet،  پژوهشگران امنیتی دریافته‌اند که این بدافزار از دستور‌های Microsoft SQL برای انتقال payload‌های مخرب استفاده می‌کند.
به گفته پژوهشگران، دانلود کننده بدافزار WhiteShadow برای انتقال انواع بدافزار‌ها به سیستم‌های آسیب‌پذیر به‌کار می‌رود و از طریق کد‌های ماکرو Visual Basic به سیستم‌های آلوده منتقل می‌شود.
زمانی که دستور بارگیری بدافزار توسط WhiteShadow فراخوانی شود، payload مخرب به عنوان یک فایل فشرده PKZip منتقل و نصب payload مخرب در سیستم قربانی براساس پیکربندی‌های ذخیره شده در فایل پیوست درون ایمیل انجام می‌شود.
از جمله بدافزار‌هایی که توسط WhiteShadow منتقل می‌شود Crimson است که دارای قابلیت‌های سرقت اطلاعات، دریافت اسکرین‌شات از صفحه نمایش، مشاهده لیست فرایند‌های پردازشی و استخراج ایمیل از Outlook است.
علاوه بر Crimson، بدافزار‌های Nanocore، njRAT، AgentTesla و Formbook نیز توسط WhiteShadow منتقل شده‌اند.
کارشناسان معاونت بررسی مرکز افتا از کاربران می‌خواهند تا از باز کردن ایمیل‌های مشکوک که از منابع نامعتبر دریافت می‌شوند خودداری کنند و با نظارت بر ترافیک خروجی پورت TCP ۱۴۳۳ یا مسدودسازی آن، از نفوذ بدافزار WhiteShadow جلوگیری کنند.