به گزارش فاواپرس به نقل از روابط عمومی مرکز مدیریت راهبردی افتا؛ گردانندگان این تهدید، ایمیلی را که در آن یک فایل با نام ReadMe_txt.lnk.lnk پیوست شده است، به اهداف خود ارسال میکنند و با بکارگیری فناوری Right-to-Left Override (RLO) آنچه کاربر را با آن روبرو میکنند ReadMe_knl.txt است.
مهاجمان، همزمان از نشان Notepad برای این فایل lnk استفاده میکنند تا txt بودن فایل برای کاربر قابلباورتر باشد. علاوه بر توانایی شناسایی بستر، بدافزار به ضبط نامهای کاربری، نام ماشین و اطلاعاتی نظیر محصول ضدویروس نصب شده، عنوان کارت گرافیک و عنوان پردازشگر اقدام میکند.
محققان امنیتی این برنامه را Poulight نام نهادهاند. تصویربرداری از صفحه کار کاربر، سرقت اسناد ذخیره شده با نامها و در مسیرهایی خاص و گرفتن عکس از طریق دوربین دستگاه، از جمله اقدامات بدافزار جاسوس است. این بدافزار جاسوس همچنین اطلاعات اصالتسنجی FileZilla، اطلاعات اصالتسنجی Pidgin و اطلاعات discord\Local Storage را سرقت میکنند. سرقت دادههای Telegram در مسیرهایی خاص، دادههای Skype، فایلهای احراز هویت ssfn و اطلاعات کیفهای ارز رمز، از دیگر عملیات مخرب بدافزار جاسوس Poulight است.
مهاجمان سایبری همچنین از طریق این جاسوس افزار، کوکیها، نشانیهای ULR، حسابهای کاربری، رمزهای عبور، دادههای Autofill و اطلاعات کارتهای پرداخت و فایلهای حاوی نویسههای خاص را در ۲۵ مرورگر به سرقت میبرند.
