شرکت Fortinet ابتدا در آوریل در مورد این سرقت اطلاعاتی را به دست آورد. محققان این شرکت سپس توانستند یکی از پوشههای دارای قابلیت دسترسی آزاد مربوط به یکی از کارگزارهای دستور و کنترل BlackMoon را کشف کنند.
محققان حوزه امنیت این شرکت سپس با بررسی بیشتر این پوشه، بخش ثبت وقایع و اطلاعات موجود در آن را مورد مشاهده قرار دادند و به جزئیاتی در مورد کاربران مورد حمله این بدافزار دست یافتند. اطلاعات موجود نشان میداد که تعداد کاربران مورد حمله این بدافزار در سراسر جهان ۱۱۰ هزار و ۱۳۰ نفر بوده است که از این میان ۱۰۸ هزار و ۸۵۰ نفر در کره جنوبی بودهاند و با توجه به تنوع موجود در کارگزارهای دستور و کنترل این بدافزار، افزایش این میزان دور از انتظار نیست.
پس از این اتفاقات، شرکت Fortinet با نظارت بیشتر بر نحوه کار کارگزارهای دستور این بدافزار و جمعآوری اطلاعات بیشتر در مورد نحوه عملکرد جاسوسان طراحی کننده آن، تحقیقات خود را ادامه داد. این شرکت اعلام کرد که از ۱۰ می تا ۱۹ ژوئیه امسال، طراحان این بدافزار ۶۲ هزار و ۶۵۹ کاربر دیگر را مورد سوءاستفاده قرار دادهاند که از این میان، ۶۱ هزار و ۲۵۵ نفر از کره جنوبی بودهاند.
بررسی بیشتر و جزئیتر پروندههای پیداشده در کارگزار دستور و کنترل کشفشده این بدافزار نشان میدهد که گروه تبهکار طراح این بدافزار پروندههای اصلی پیکربندی آن را مورد استفاده قرار داده و به ۶۱ شرکت مالی در کره جنوبی حمله کرده است.
BlackMoon یک بدافزار بانکداری است که در سال ۲۰۱۴ کشف شد. این بدافزار از پروندههای پیکربندی خودکار پراکسی برای استفاده غیرقانونی از حجم اینترنت کاربران و همچنین سوءاستفاده از نشانیهای اینترنتی موجود در پرونده پیکربندی استفاده میکند. پس از این مراحل، کاربر به جای یک صفحه اصلی و امن بانکی، به یک صفحه فیشینگ هدایت میشود و در این صفحه جاسوسان اقدام به ثبت اطلاعات ورود به حساب بانکی کاربر میکنند.
شرکت Fortinet در دورهای که به طور جدی در حال بررسی کارگزار دستور و کنترل کشف شده بود، اعلام کرد که بدافزار BlackMoon ۲۷۰۵ نمونه متفاوت دارد و به نشانی IP ۱۸ هزار و ۹۶۹ کاربر دسترسی دارد. این شرکت در ادامه این آمار اعلام کرد که این بدافزار همچنین به نشانی MAC ۲۰ هزار و ۹۴۸ کاربر دیگر نیز دسترسی دارد و با استفاده از ۳۴۱ کارگزار دستور و کنترل از ۲۶ شرکت میزبانی وب در حال فعالیت است که دوازده شرکت از این میان در آمریکا بوده و یازده شرکت در چین و چهار شرکت نیز در هنگکنگ واقع هستند.
بنا به یافتههای این شرکت، نام پروندههای کارگزار دستور کنترل و توضیحات کد منبع به زبان چینی نوشته شدهاند. این مسئله میتواند سرنخ مهمی برای دستیابی به منبع اصلی این اتفاقات باشد. رونالد دلا پاز یکی از کارمندان شرکت Fortinet در این خصوص عنوان کرد: «محققان شرکت ما تاکنون موفق به شناسایی مشخصات تمامی کاربران مورد حمله این بدافزار واقع نشدهاند و این در حالی است که تعداد بالای نشانیهای IP و MAC بهدستآمده در تحقیقات حاکی از این است که این بدافزار توانسته است حداقل دهها هزار کاربر را مورد حمله خود قرار دهد. علاوه بر این، طراحی روزانه نمونههای جدید از این بدافزار و همچنین کارگزارهای آن نشاندهنده فعالیت بالای آن است و به همین دلیل باید توجه ویژهای در خصوص احتمال حملات آتی این بدافزار به کاربران کره جنوبی داشت.»