کمیته رکن چهارم – یک گروه باجافزاری مشهور در حال سوءاستفاده از تبلیغات مجازی برای تزریق بدافزار به سیستم قربانیان است.
کارشناسان هشدار دادهاند که یک گروه باجافزاری معروف، تبلیغات جعلی را برای جذب افراد به بازدید از صفحات وب که سایت رسمی WinSCP (کپی امن ویندوز) را جعل میکنند، تحت فشار قرار میدهد.
گروه BlackCat که با نام ALPHV نیز شناخته میشود، صفحات را با نصبکنندههای بدافزار بارگذاری کرده است که هنگام بازدید، سیستم قربانی را آلوده میکند. بلیپینگ کامپیوتر ادعا میکند که این گروه امیدوار است مدیران سیستم، ادمینهای وبسایتها و متخصصان فناوری اطلاعات را برای دسترسی اولیه به شبکههای شرکتی ارزشمند، هدف قرار دهد.
این کاربران بیشتر به استفاده از WinSCP به عنوان مشتری منبع باز علاقهمند هستند و این سرویس امکان انتقال فایل SSH با قابلیتهای مدیریت فایل و امکان انتقال امن بین ماشینهای محلی و سرورهای راه دور را فراهم میکند. همچنین میتواند به عنوان یک سرویس گیرنده WebDAV و Amazon S3 عمل کند.
تبلیغات جعلی در صفحات جستجوی گوگل و بینگ که اولین بار این کمپین را کشف کرد، مشاهده شد و همچنین اشاره شد که جستجوی «WinSCP Download» (دانلود WinSCP) در این سایتها منجر به بالا آمدن تبلیغات مخرب در بالای نتایج ایمن و قانونی میشود.
وبسایتهای جعلی که لینکهای موجود در این تبلیغات به آنها ختم میشود، آموزش استفاده از WinSCP را دارند. این سایتها به خودی خود خطرناک نیستند و به آنها کمک میکند تا از شناسایی شدن توسط گوگل جلوگیری کنند، اما بازدیدکنندگان را به نسخه جعلی سایت WinSCP با نامهای دامنه مشابه، مانند winsccp[.]com هدایت میکنند. (سایت واقعی winscp.net است.)
در این سایتهای جعلی یک دکمه دانلود وجود دارد که با کلیک روی آن، یک فایل ISO حاوی بدافزار دانلود میشود. این بدافزار با سرور فرمان و کنترل مهاجم ارتباط برقرار میکند و میتواند زمینه را برای نفوذ بیشتر به سیستم هدف مانند بازیابی اطلاعات Active Directory (AD)، استخراج فایلها و دریافت اعتبار Veeam فراهم کند.
این بدافزار همچنین از SpyBoy، یک ترمیناتور شناخته شده که میتواند محافظت نقطه پایانی و نرمافزار آنتیویروس را غیرفعال کند، استفاده میکند. بلیپینگ کامپیوتر اشاره میکند که این گروه باجافزاری میتواند تا ۳ هزار دلار در انجمنهای هک هزینه کند و میتواند امتیازات را در یک سیستم افزایش دهد و سپس آنها را غیرفعال کند.
Trend Micro همچنین میگوید علاوه بر BlackCat، یک فایل باجافزار گروه Clop را در یکی از دامنههای C2 مهاجم نیز پیدا کرده است که نشان میدهد ممکن است آنها به چندین عملیات باجافزاری مرتبط باشند.
Clop وقتی توانست با موفقیت به GoAnywhere و سپس MoveIT در سال جاری حمله کند، سر و صدای زیادی به پا کرد و سازمانهای با سابقه زیادی را در این فرآیند تحت تأثیر قرار داد.
منبع: افتانا