مراقب ایمیل‌ها و دامنه‌های جعلی منتسب به دانشگاه آکسفورد باشید

یک گروه هکری به نام OilRig از طریق پرتال جعلی VPN متعلق به Juniper و سایت‌های جعلی منتسب به دانشگاه آکسفورد اقدام به توزیع بدافزار می‌کند. هدف اصلی این گروه کشورهایی هستند که در منطقه خاورمیانه قرار دارند. موسسه‌های مالی، دولتی و فناوری از اصلی‌ترین اهداف این گروه هکری به شمار می‌روند.

به گزارش سافت گذر و به نقل ازمجله شبکه؛ دو شرکت فایرآی و پالوآلتو اعلام داشته‌اند: «این گروه هکری از سال 2015 میلادی کار خود را آغاز کرده و از آن زمان تاکنون این گروه را تحت نظر قرار داشته‌اند.» حملاتی که این گروه به تازگی آن‌ها را سازمان‌دهی کرده‌اند عمدتا سازمان‌های مرتبط با خدمات مالی و سرویس‌های پست الکترونیک را هدف قرار داده‌اند. در جدیدترین حمله این گروه یک پرتال جعلی Juniper Networks VPN را راه‌اندازی کرده و از حساب‌های ایمیلی به ظاهر مرتبط با تولیدکنندگان فعال در عرضه فناوری‌اطلاعات به منظور ارسال ایمیل‌های مخرب برای کاربران استفاده کرده‌اند. کارشناسان امنیتی هنوز به طور دقیق اعلام نداشته‌اند، این گروه کل شبکه مربوط به این شرکت را آلوده کرده‌اند یا آلودگی تنها محدود به حساب‌های ایمیلی این شرکت بوده که هکرها همراه با لینک‌های مخرب آن‌ها را برای کاربران ارسال کرده‌اند. زمانی که کاربر به سایت جعلی Juniper وارد می‌شود به او گفته می‌شود، برنامه کلاینت VPN را نصب کند. نرم‌افزار فوق یک قطعه نرم‌افزاری معتبر متعلق به شرکت Juniper بوده که بدافزار این گروه از آن استفاده می‌کند.

کارشناسان امنیتی گفته‌اند فایل‌های آلوده همراه با گواهی‌نامه‌های معتبر امضا شده‌اند. این گواهی‌نامه‌های معتبر از سوی سیمانتک برای یک شرکت نرم‌افزاری مستقر در ایالات متحده به نام AI Squared صادر شده است. بدافزاری که کارشناسان امنیتی موفق شده‌اند آن‌را شناسایی کنند از گواهی‌نامه‌های متفاوتی که برای این شرکت امضا شده است استفاده می‌کنند. کارشناسان امنیتی می‌گویند: «هکرها ممکن است شبکه مربوط به شرکت AI Squared را آلوده ساخته و در ادامه به کلیدها دست پیدا کرده باشند.»

در تازه‌ترین حمله این گروه چهار دامنه در ظاهر وابسته به دانشگاه آکسفورد را ثبت کرده‌اند. دامنه‌های oxford-careers[.]com ،symposia[.]com ،oxford-employee[.]com و oxford[.]in توسط این گروه به ثبت رسیده است. دامنه جعلی اول مشابه با صفحه ثبت‌نام دانشگاه آکسفورد طراحی شده است. در این سایت به کاربر توصیه شده است ابزاری که در مراحل بعدی ثبت‌نام به آن نیاز خواهد داشت را روی کامپیوتر خود نصب کنند. این ابزار از گواهی‌های معتبر شرکت AI Squared استفاده کرده و به کاربر اعلام می‌دارد که در فرم پیش ثبت‌نام اطلاعات مختلفی در ارتباط با خودش وارد کند.

در ادامه به کاربران گفته شده است فرم مربوطه را به آدرس ایمیلی که روی دامنه جعلی دوم قرار دارد ارسال کنند. دامنه جعلی دوم oxford-careers[.]com نام دارد. در دامنه جعلی دوم لینکی به دامنه بعدی oxfod[.]in وجود دارد. در این دامنه فایل‌های مختلفی وجود دارد. اما کارشناسان امنیتی هنوز موفق نشده‌اند از ماهیت و محتوای این فایل‌ها اطلاعی به دست آورند، به واسطه آن‌که پس از شناسایی این سایت‌های جعلی هکرها به سرعت فایل‌ها را از دسترس خارج کردند. دامنه جعلی آخر oxford-employee[.]com نام دارد که همانند یک سایت کاریابی طراحی شده است. این سایت به کاربران اجازه می‌دهد رزومه خود را به شکل رسمی برای دانشگاه آکسفورد ارسال کنند. در این دامنه نیز یک ابزار جعلی برای دریافت اطلاعاتی از کاربران قرار گرفته شده است.