נסיון להונאת פישינג נגד פעילים טיבטיים

חברת האבטחה ESET פרסמה ב-14 בנובמבר על הפצת נוזקה מסוג (Gh0st RAT (Win32/Farfli ככל הנראה נגד פעילים טיבטיים, עם כינוס ועידת G20 באוסטרליה. במסגרת ניתוח הארוע התברר כי נעשה שימוש בקוד במונח “LURK0”, בו נעשה שימוש בעבר בעת תקיפות שכאלה נגד קבוצות טיבטיות.

בחינה מעמיקה יותר הצליחה לשחזר הודעת דוא"ל אשר נשלחה לכאורה מאת <Tibet Press <tibet.press@aol.com והפיצה נוזקה זו בקרב גורמים טיבטיים;

זוהי מתקפה מסוג spear phishing במהלכה מנסה התוקף לפתות את הקורבן לפתוח את הקובץ הנגוע המצורף להודעה תוך שימוש במידע על הפגנה אשר אורגנה על ידי Australian Tibet Council. כאשר למעשה נלקחה ההודעה בדוא"ל זה ישירות מאתר הארגון ונשלחה אל European Central Tibetan Administration.

להודעת הדוא"ל צורף קובץ Word הנושא את השם “A_Solution_for_Tibet.doc” אשר משעה שיפתח, יתקין על מחשב הקורבן Gh0st RAT בתיקיה הבאה C:Documents and SettingsAdministratorApplication DataMicbt.

לאחר התקנתו ינסה ה-RAT ליצור קשר עם שני דומיינים; mailindia.imbss.in, godson355.vicp.cc

אין זו הפעם הראשונה בה נעשה נסיון להדביק בנוזקות פעילים טיבטיים ואף לרגל אחריהם באמצעים אלו; ב-24 במרץ 2013 איתרו מומחי חברת קספרסקי התקפה מקוונת ייחודית נגד גורמים טיבטיים ופעילי זכויות אדם באמצעות פעולה דומה של משלוח הודעה נגועה, אך הפעם למכשירי הסלולר של הקורבנות.