אזהרה מפני קמפיין "גנב האנוי" שתוקף עסקים וייטנאמיים

בתוך הקובץ הדחוס נמצא קובץ קיצור דרך במסווה של טופס בקשת עבודה, אך למעשה מכיל את וירוס LOTUSHARVEST, המתמחה באיסוף מידע על סיסמאות שנשמרו, קובצי Cookie של התחברות והיסטוריית גלישה מדפדפני Chrome ו-Edge... ולאחר מכן שליחתם לשרת של ההאקר.

על פי מומחי Bkav, קובץ קיצור הדרך בתוך הקובץ "Le Xuan Son CV.zip" מוסווה תחת סמל PDF/PNG, מה שגורם לנמען לחשוב בטעות שמדובר בקובץ קורות חיים רגיל. בלחיצה אחת בלבד, LOTUSHARVEST מופעל באופן מיידי ומתחיל בתהליך החדירה למערכת.

הנקודה המדאיגה בקמפיין התקיפה הזה היא הווירוס המתוחכם LOTUSHARVEST, המסוגל להסתתר עמוק ולפעול בכוחות עצמו. LOTUSHARVEST מנצל את מנגנון טעינת הספרייה כדי לשמור על שליטה ארוכת טווח ולגשת לחשבונות ונתונים רגישים, מעבר להגנה של אמצעי אבטחה קונבנציונליים. נתונים גנובים הופכים ל"מפתח" עבור האקרים להרחבת חדירה, לפרוס כלים מסוכנים ולהפוך עסקים להתקפות רב-שכבתיות או מטרות סחיטה בשלבים הבאים.

מר נגוין דין טוי, אנליסט תוכנות זדוניות ב-Bkav, אמר: "כל הסימנים מראים שקמפיין "גנב האנוי" תוכנן בקפידה, ופנה ישירות לעסקים וייטנאמים. תוך ניצול מחלקת הגיוס, שמקבלת באופן קבוע פניות מבחוץ אך אינה מצוידת במודעות מלאה לאבטחת סייבר, האקרים משתמשים בקבצים מזויפים בצורת קורות חיים או מסמכים ויכולים להפוך ללא הרף לגרסאות רבות ושונות, מה שהופך את הסיכון להדבקה לבלתי צפוי."

בקאב ציין כי היו עסקים וייטנאמיים שנפלו קורבן לקמפיין מתקפה זה. בשל האופי המסוכן של LOTUSHARVEST וקמפיין הגנבים בהאנוי, על המשתמשים להיות ערניים ביותר לגבי מסמכים המתקבלים בדוא"ל, מכיוון שטעות אחת בלבד יכולה לפתוח דלת להאקרים.

עסקים וארגונים צריכים לארגן באופן קבוע הכשרות תקופתיות לעובדים, להעלות את המודעות והערנות מפני טריקים של הונאה מקוונת. יש לחזק את מערכות הניטור הפנימיות, במיוחד ניטור ספריות חריגות או קבצים חשודים.

כלי ברירת המחדל במערכת ההפעלה עונים רק על צרכי ההגנה הבסיסיים, ואינם מסוגלים כלל להילחם בתוכנות זדוניות ווירוסים מודרניים שיכולים להסתתר, להתמיד לאורך זמן ולחדור עמוק לתוך המערכת. לכן, יש צורך להתקין מערכת ניטור דוא"ל ולהשתמש בתוכנת אנטי-וירוס מורשית כדי להיות מוגנים באופן מקצועי.