จากเหตุการณ์ที่สองหนุ่มอิตาลีในชื่อ “Occhionero brothers” ถูกจับกุมฐานใช้มัลแวร์เพื่อเจาะจงล้วงความลับกลุ่มนักการเมืองและนักธุรกิจผู้มีชื่อเสียง ซึ่งกรณีนี้ถูกเรียกว่าเหตุการณ์ “EyePyramid” (ตั้งชื่อตามโดเมนเนมและชื่อโฟลเดอร์ที่พบระหว่างการสืบสวน”
เนื้อหาในคำสั่งศาลซึ่งถูกเปิดเผยโดยสำนักข่าวอิตาลี AGI เมื่อช่วงเที่ยงของวันที่ 11 มกราคมนั้น มีรายละเอียดเกี่ยวกับข้อมูลทางเทคนิคของการโจมตีครั้งนี้ ซึ่งทาง Trend Micro ได้นำมาใช้วิเคราะห์ โดยเริ่มจากบัญชีผู้ใช้อีเมล์ที่โดนจารกรรมข้อมูล มีการเจาะจงเป้าหมายอีเมล์บนโดเมนที่หลากหลายมาก ทั้งอีเมล์ของอิตาลี, ฝรั่งเศส, เยอรมัน, หรือแม้แต่โดเมนอีเมล์ชื่อดังอย่าง @gmail.it, gmail.com, yahoo.com เป็นต้น
กลไกการโจมตีจะใช้การสร้างความน่าเชื่อถือกับเป้าหมายที่เป็นกลุ่มผู้มีเชื่อเสียง ด้วยการนำรายการบัญชีอีเมล์ ซึ่งอาจดูดมาจากการโจมตีของมัลแวร์เดียวกันนี้อีกทีหนึ่ง หรือจากการสืบข้อมูลข้างนอก บัญชีอีเมล์นี้เป็นขององค์กรหรือบุคคลที่ผู้ที่ตกเป็นเป้าหมายให้ความเชื่อถือ
จากนั้นก็จะนำอีเมล์ดังกล่าวเป็นผู้ส่งไฟล์แนบที่ซ่อนสกุลไฟล์ .exe ไว้ เพื่อหลอกให้เหยื่อไฮโปรไฟล์เหล่านี้ติดตั้งมัลแวร์บนเครื่องตัวเอง ซึ่งจะนำไปสู่การขโมยข้อมูลที่เกี่ยวข้องบนบัญชีอีเมล์ของเหยื่อ อันรวมไปถึงรายชื่อเมล์ติดต่ออื่นๆ ที่จะกลายเป็นรายการเหยื่อล็อตถัดไป เป็นเครื่องมือในการกระจายมัลแวร์ไปอีกทีหนึ่ง
Trend Micro พบว่าช่วงที่มีการระบาดของ EyePyramid สูงสุดในปี 2557 โดยพบถึง 185 กรณี แล้วค่อยๆ ร่วงลงในปีถัดๆ มา อยู่ที่ 49 และ 7 กรณี ในปี 2558 และ 2559 ตามลำดับ ขณะที่ตำแหน่งทางภูมิศาสตร์ของเหยื่อก็ไม่ได้จำกัดเฉพาะอิตาลีเพียงอย่างเดียว แต่ยังระบาดหนัดในสหรัฐฯ, ยุโรป, อินเดีย, และญี่ปุ่น เป็นต้น
ที่มา : http://blog.trendmicro.com/trendlabs-security-intelligence/uncovering-inner-workings-eyepyramid/