این Remote Access Trojan (RAT) که قبلاً برای ویندوز شناخته شده بود و دارای قابلیت سرقت اعتبار (credential-stealing) است، اکنون دامنه اهداف خود را برای پیشبرد انگیزههای جاسوسی به کاربران اندروید گسترش داده است.
محققان سیسکو تالوس در تحلیلی که روز سه شنبه منتشر شد گفتند: نسخه جدید LodaRAT برای ویندوز با بهبود قابلیتهای ضبط صدا منتشر شده است.
محققان خاطرنشان کردند: Kasablanca، گروهی که پشت این بدافزار است، RAT جدید را در یک کمپین ترکیبی در حال اجرا، با اهداف بنگلادشی منتشر کرده است.
دلیل اینکه سازمانهای مستقر در بنگلادش به طور خاص برای این کمپین مشخص شدهاند همچنان مشخص نیست.
این بدافزار اولین بار در ماه می ۲۰۱۷ توسط Proofpoint مستند شد، Loda یک بدافزار AutoIt است که معمولاً از طریق فیشینگ ارائه میشود و برای اجرای طیف وسیعی از دستورات مانند ضبط صدا، ویدئو و ضبط سایر اطلاعات حساس، سرقت رمزهای عبور و کوکیهای مرورگر است مورد استفاده قرار میگیرد.
آخرین نسخهها Loda4Android و Loda4Windows لقب گرفتهاند.
این حملات از اکتبر سال ۲۰۲۰ آغاز شد، بانکها و فروشندگان نرمافزارهای VOIP را هدف قرار داده است. همچنین نشانههایی از نویسنده بدافزار در مراکش کشف شده است.
مهاجمان همچنین از تعداد بیشماری از ترفندهای مهندسی اجتماعی از اشتباهات تایپی در نام دامنهها گرفته تا اسناد مخرب RTF که در ایمیلها جاسازی شدهاند استفاده میکنند، که با باز شدن آنها یک زنجیره ایجاد میشود که از آسیبپذیری تخریب حافظه در Microsoft Office برای دانلود Payload نهایی استفاده میکند(CVE-2017-11882 ).
در حالی که نسخه اندروید بدافزار میتواند عکس و اسکرینشات بگیرد، اساماس و لیستهای تماس را بخواند، پیام کوتاه بفرستد و با شمارههای خاص تماس برقرار کند و پیامهای کوتاه یا تماس تلفنی را رهگیری کند، جدیدترین نسخه ویندوز نیز از قابلیتهای جدیدی از جمله دسترسی از راه دور به دستگاه مورد نظر از طریق پروتکل RDP و ضبط صدا از میکروفون متصل بهره میبرد.
این پیشرفتها نشان دهنده این است که توسعهدهندگان این بدافزار اکنون بر اهداف خاصی تمرکز کردهاند. همانطور که در مورد نسخههای قبلی لودا مشاهده میشود، هر دو نسخه جدید تهدیدی جدی محسوب میشوند زیرا میتوانند منجر به نقض قابل توجه دادهها یا خسارت سنگین مالی شوند.
یک نظر