تبلیغاتی که بدافزار را به خانه می‌آورند

کمیته رکن چهارم – یک گروه باج‌افزاری مشهور در حال سوءاستفاده از تبلیغات مجازی برای تزریق بدافزار به سیستم قربانیان است.

کارشناسان هشدار داده‌اند که یک گروه باج‌افزاری معروف، تبلیغات جعلی را برای جذب افراد به بازدید از صفحات وب که سایت رسمی WinSCP (کپی امن ویندوز) را جعل می‌کنند، تحت فشار قرار می‌دهد.

گروه BlackCat که با نام ALPHV نیز شناخته می‌شود، صفحات را با نصب‌کننده‌های بدافزار بارگذاری کرده است که هنگام بازدید، سیستم قربانی را آلوده می‌کند. بلیپینگ کامپیوتر ادعا می‌کند که این گروه امیدوار است مدیران سیستم، ادمین‌های وب‌سایت‌ها و متخصصان فناوری اطلاعات را برای دسترسی اولیه به شبکه‌های شرکتی ارزشمند، هدف قرار دهد.

این کاربران بیشتر به استفاده از WinSCP به عنوان مشتری منبع باز علاقه‌مند هستند و این سرویس امکان انتقال فایل SSH با قابلیت‌های مدیریت فایل و امکان انتقال امن بین ماشین‌های محلی و سرورهای راه دور را فراهم می‌کند. همچنین می‌تواند به عنوان یک سرویس گیرنده WebDAV و Amazon S3 عمل کند.

تبلیغات جعلی در صفحات جستجوی گوگل و بینگ که اولین بار این کمپین را کشف کرد، مشاهده شد و همچنین اشاره شد که جستجوی «WinSCP Download» (دانلود WinSCP) در این سایت‌ها منجر به بالا آمدن تبلیغات مخرب در بالای نتایج ایمن و قانونی می‌شود.

وب‌سایت‌های جعلی که لینک‌های موجود در این تبلیغات به آن‌ها ختم می‌شود، آموزش استفاده از WinSCP را دارند. این سایت‌ها به خودی خود خطرناک نیستند و به آن‌ها کمک می‌کند تا از شناسایی شدن توسط گوگل جلوگیری کنند، اما بازدیدکنندگان را به نسخه جعلی سایت WinSCP با نام‌های دامنه مشابه، مانند winsccp[.]com هدایت می‌کنند. (سایت واقعی winscp.net است.)

در این سایت‌های جعلی یک دکمه دانلود وجود دارد که با کلیک روی آن، یک فایل ISO حاوی بدافزار دانلود می‌شود. این بدافزار با سرور فرمان و کنترل مهاجم ارتباط برقرار می‌کند و می‌تواند زمینه را برای نفوذ بیشتر به سیستم هدف مانند بازیابی اطلاعات Active Directory (AD)، استخراج فایل‌ها و دریافت اعتبار Veeam فراهم کند.

این بدافزار همچنین از SpyBoy، یک ترمیناتور شناخته شده که می‌تواند محافظت نقطه پایانی و نرم‌افزار آنتی‌ویروس را غیرفعال کند، استفاده می‌کند. بلیپینگ کامپیوتر اشاره می‌کند که این گروه باج‌افزاری می‌تواند تا ۳ هزار دلار در انجمن‌های هک هزینه کند و می‌تواند امتیازات را در یک سیستم افزایش دهد و سپس آن‌ها را غیرفعال کند.

Trend Micro همچنین می‌گوید علاوه بر BlackCat، یک فایل باج‌افزار گروه Clop را در یکی از دامنه‌های C2 مهاجم نیز پیدا کرده است که نشان می‌دهد ممکن است آن‌ها به چندین عملیات باج‌افزاری مرتبط باشند.

Clop وقتی توانست با موفقیت به GoAnywhere و سپس MoveIT در سال جاری حمله کند، سر و صدای زیادی به پا کرد و سازمان‌های با سابقه زیادی را در این فرآیند تحت تأثیر قرار داد.

منبع: افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.