سرقت اطلاعات از طریق یک فایل در ظاهر TXT

مهاجمان سایبری از طریق ایمیل‌های فیشینگ و با بکارگیری تکنیک موسوم به RLO به انتشار بدافزاری با عملکرد جاسوس‌افزار اقدام می‌کنند که ضمن جاسوس، بخش مهمی از اطلاعات دارندگان سیستم قربانی شده را به سرقت می‌برند.
به گزارش پایگاه خبری آرمان اقتصادی از روابط عمومی مرکز مدیریت راهبردی افتا: گردانندگان این تهدید، ایمیلی را که در آن یک فایل با نام ReadMe_txt.lnk.lnk پیوست شده است، به اهداف خود ارسال می‌کنند و با بکارگیری فناوری Right-to-Left Override(RLO ) آن‌چه کاربر را با آن روبرو می‌کنند ReadMe_knl.txt است.
مهاجمان، همزمان از نشان Notepad برای این فایل lnk استفاده می‌کنند تا txt بودن فایل برای کاربر قابل‌باورتر باشد.
علاوه بر توانایی شناسایی بستر، بدافزار به ضبط نام‌های کاربری، نام ماشین و اطلاعاتی نظیر محصول ضدویروس نصب شده، عنوان کارت گرافیک و عنوان پردازشگر اقدام می‌کند.
محققان امنیتی این برنامه را Poulight نام نهاده‌اند.
تصویربرداری از صفحه کار کاربر، سرقت اسناد ذخیره شده با نام‌ها و در مسیرهایی خاص و گرفتن عکس از طریق دوربین دستگاه، از جمله اقدامات بدافزار جاسوس است .
این بدافزار جاسوس همچنین اطلاعات اصالت‌سنجی FileZilla، اطلاعات اصالت‌سنجی Pidgin و اطلاعات discord\Local Storage را سرقت می‌کنند.
سرقت داده‌های Telegram در مسیرهایی خاص، داده‌های Skype، فایل‌های احراز هویت ssfn و اطلاعات کیف‌های ارز رمز ، از دیگر عملیات مخرب بدافزار جاسوس Poulight است.

مهاجمان سایبری همچنین از طریق این جاسوس افزار، کوکی‌ها، نشانی‌های ULR، حساب‌های کاربری، رمزهای عبور، داده‌های Autofill و اطلاعات کارت‌های پرداخت و فایل های حاوی نویسه‌های خاص را در ۲۵ مرورگر به سرقت می‌برند.