کمیته رکن چهارم – طبق بررسی گزارشات امنیتی و رصد تحرکات مهاجمان سایبری اخیرا فعالیت های مخربی شناسایی شده که در آن مهاجمان از لینک های سایت های خبری محلی استفاده می کنند تا بدافزاری به نام lightSpy را در دستگاههای iOS کاربران نا آگاه تزریق کنند. در این فرآیند مهاجمان با استفاده از لینک های مخرب، کاربران را به سایت ها و مقالات خبری در انجمن های مختلف هدایت می کنند. iframe پنهان شده در این لینک ها کد مخرب را لود کرده و سیستم را درگیر می کند. عبارت iframe مخفف inline frame بوده و یکی از تگ های HTML می باشد که برای نمایش یک صفحه از اینترنت در بخشی از سایت استفاده میشود.
کد مخرب که توسط iframe پنهان شده قادر است از آسیب پذیری های موجود در iOS 12.1 و ۱۲٫۲ بهره برداری کند. وقتی کاربر نا آگاه بر روی لینک مخرب کلیک می کند این کار وی منجر به نصب نرم افزار مخرب lightSpy در دستگاه iOS می شود.
کمپین خبری آلوده به بدافزار
.
lightSpy یک ماژول Backdoor یا به اصطلاح درب پشتی است که به مهاجمان امکان اجرای کد از راه دور را می دهد و پرونده های موجود در دستگاه آسیب دیده را دستکاری می کند.
محققان امنیتی در بررسی های خود از وجود حمله watering hole خبر دادند که کاربران iOS را هدف قرار داده است. لینک های ارسال شده توسط مهاجمان شامل سه iframe می باشد. تنها لینک قابل مشاهده وب سایت خبری اصلی است با دو لینک مخفی دیگر، یکی مورد استفاده برای اهداف تحلیلی و دیگری میزبانی وب سایت.
در اینجا می توانید سه iframe را مشاهده کنید
برای فریب بهتر کاربران، مهاجمین لینک ها را تحت موضوعاتی با عناوین مربوط به جنسیت، عناوین clickbait یا اخبار مربوط به بیماری COVID-19 ارسال می کنند.
در ادامه بررسی های صورت گرفته سه نوع حمله دیگر مشاهده شده که در آن مهاجمان سایت قانونی را کپی کرده و با یک iframe مخرب تزریق می کنند.
تاثیرات مخرب ماژول های بدافزار بر روی دستگاه آلوده شده شامل موارد زیر است:
بررسی تاریخچه اتصالات WiFi
بررسی مخاطبین
بررسی محل GPS
بررسی اطلاعات سخت افزاری
بررسی keychain iOS
بررسی تاریخچه تماس تلفنی
بررسی سابقه مرورگر Safari و Chrome
بررسی پیامک ها
بررسی شبکه های WiFi موجود در اطراف
بررسی آدرس های IP شبکه محلی
بررسی تلگرام
بررسی QQ
بررسی WeChat
بهره برداری از iOS 12.1 و ۱۲٫۲
سوء استفاده به کار رفته در این حمله بر iOS 12.1 و ۱۲٫۲ تأثیرات زیادی می گذارد و مهاجمان را قادر به حملات زیادی بر روی انواع مدل های آیفون از iPhone 6S تا iPhone X می کند.
هنگامی که مهاجم به دستگاه دسترسی پیدا کند، قادر به جاسوسی پیشرفته ای برای حفظ کنترل دستگاه آلوده می شود. ماژول های جاسوسی به طور خاصی برای پیکربندی داده ها طراحی شده اند.
محققان امنیتی به همتای آندرویدی بدافزار LightSpy اشاره کردند که به آن dmsSpy گفته می شود، این نوع بدافزار در سال ۲۰۱۹ در کانال های تلگرام به عنوان یک برنامه توسط هکرها توزیع می شد.
بدافزار dmsSpy عملکردهای مختلفی مشابه بدافزارهای سنتی را دارا بود. این عملکردها شامل سرقت اطلاعات حساس مانند مخاطبین، پیام های متنی، مکان کاربر و نام پرونده های ذخیره شده می باشد.
منبع: ایران سایبر
