کمیته رکن چهارم – گروهی از مهاجمان با بکارگیری روش موسوم به DNS Hijacking، پس از رخنه به تجهیزات روتر بیسیم، ضمن جایگزین نمودن نشانی DNS آنها با نشانی سرورهای تحت کنترل خود، کامپیوترها و دستگاههای همراه مبتنی بر هر یک از سیستمهای عامل Android و iOS را آلوده به بدافزار میکنند.
در حالی که در جریان حمله این گروه، تا چند هفته قبل، تنها دستگاههای مبتنی بر Android در محدوده جنوب شرق آسیا به نوعی بدافزاری بانکی آلوده میشدند، در هفتههای اخیر، این گروه دامنه قربانیان خود را گستردهتر کرده و علاوه بر افزودن سیستمهای عامل دیگر، با پشتیبانی از ۲۷ زبان، کاربران در خاورمیانه و اروپا را نیز هدف قرار داده است.
این مهاجمان با تغییر نشانی DNS درج شده در تنظیمات روترهای بیسیم آسیبپذیر، سبب میشوند که کاربران متصل به این دستگاهها در زمان فراخوانی سایتهای معتبر به سایتهای جعلی تحت کنترل نفوذگران هدایت شده و در آنجا یکی از عملیات مخرب زیر اجرا شود:
- برنامکهای جعلی حاوی بدافزار بانکی بر روی دستگاه تحت Android دریافت و اجرا میشود.
- یک سایت فیشینگ در مرورگر دستگاه با سیستم عامل iOS ظاهر میشود.
- اسکریپت استخراجکننده ارزرمز در صفحه اینترنتی باز شده در مرورگر کاربر با سیستم عامل Windows اجرا میشود.
برای مثال، در زمانی که کاربر با دستگاه تحت Android به سایت مخرب هدایت میشود پیامی ظاهر شده و از او خواسته میشود که مرورگر خود را بهروز کند. انجام این کار، منجر به دریافت و اجرا شدن یک برنامک مخرب با نامهای فریبندهای همچون chrome.apk و facebook.apk میشود.
با هدف جلوگیری از شناسایی شدن برنامک مخرب توسط ضدویروس نصب شده بر روی دستگاه، فایل apk در هر دریافت دارای امضایی منحصربهفرد است.
بهمحض نصب شدن برنامک مخرب، مهاجمان کنترل کامل دستگاه آلوده شده را طریق چندین دربپشتی (Backdoor) در اختیار میگیرند.
در دستگاههای با سیستم عامل iOS نیز کاربر به سایتی فیشینگ با یک نشانی فریبنده و ظاهری مشابه با سایت شرکت اپل هدایت شده و در آن از او خواسته میشود تا اطلاعات حساب بانکی خود را در صفحهای جعلی وارد کند.
علاوه بر سرقت اطلاعات حساس از روی دستگاههای Android و iOS، در مرورگر کاربران دستگاههای با سیستم عامل Windows نیز اسکریپ استخراجکننده ارز رمز CoinHive به اجرا در میآید.
نشانیهای مخرب استفاده شده توسط این مهاجمان به شرح زیر میباشد:
- ۴۳٫۲۴۰٫۱۴[.]۴۴
- ۱۱۸٫۱۶۸٫۲۰۱[.]۷۰
- ۱۱۸٫۱۶۸٫۲۰۲[.]۱۲۵
- ۱۲۸٫۱۴٫۵۰[.]۱۴۷
- ۱۷۲٫۲۴۷٫۱۱۶[.]۱۵۵
- ۲۲۰٫۱۳۶٫۷۳[.]۱۰۷
- ۲۲۰٫۱۳۶٫۷۶[.]۲۰۰
- ۲۲۰٫۱۳۶٫۷۸[.]۴۰
- ۲۲۰٫۱۳۶٫۱۱۱[.]۶۶
- ۲۲۰٫۱۳۶٫۱۷۹[.]۵
- ۲۲۰٫۱۳۶٫۱۸۲[.]۷۲
- shaoye11.hopto[.]org
- haoxingfu01.ddns[.]net
برای حفاظت در برابر این حمله ارتقای ثابتافزار روتر به آخرین نسخه آن و بکارگیری رمز عبور پیچیده توصیه میشود.
حمله مذکور توسط شرکتهای مکآفی، ترند مایکرو و کسپرسکی پوشش داده شده که مشروح گزارش آنها در لینکهای زیر قابل دریافت و مطالعه میباشد:
- https://securingtomorrow.mcafee.com/mcafee-labs/android-banking-trojan-moqhao-spreading-via-sms-phishing-south-korea/
- https://blog.trendmicro.com/trendlabs-security-intelligence/xloader-android-spyware-and-banking-trojan-distributed-via-dns-spoofing/
- https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/
منبع : شبکه گستر