کمیته رکن چهارم – مهاجمان سایبری با انتشار بهروزرسانی جعلی برای مرورگرها، اقدام به توزیع بدافزارهایی نظیر BitRAT و Lumma Stealer میکنند.
مهاجمان سایبری با استفاده از بهروزرسانیهای جعلی مرورگرها، بدافزارهایی نظیر BitRAT و Lumma Stealer را توزیع میکنند. این حملات با هدایت کاربران به وبسایتهای آلوده و دانلود فایلهای مخرب توسط آنها آغاز میشوند. با بازدید قربانیان از یک وبسایت آلوده که در آن کدی به زبان جاوااسکریپت قرار داده شده است، کاربران به یک صفحه جعلی بهروزرسانی مرورگر هدایت میشوند که تحت دامنهای مانند “abcde-app[.]cloud” قرار دارد. هدف این حمله فریب کاربران برای دانلود و نصب نرمافزارهای مخرب یا انجام اقدامات مخرب دیگر است.
پس از هدایت کاربران به صفحه جعلی بهروزرسانی مرورگر، در این صفحه یک لینک دانلود قرار داده شده است که به یک فایل ZIP به نام “Update.zip” اشاره دارد. این فایل ZIP در پلتفرم Discord میزبانی میشود و به صورت خودکار در دستگاه قربانی دانلود میشود. این کار دستگاه قربانی را با بدافزارهای موجود در فایل ZIP آلوده میکند. در داخل این فایل ZIP، یک فایل جاوااسکریپت دیگر به نام “Update.js” وجود دارد. این فایل جاوااسکریپت باعث اجرای اسکریپتهای PowerShell میشود. وظیفه این اسکریپتها دانلود payloadهای اضافی از یک سرور راه دور است. این payloadهای اضافی شامل بدافزارهایی مانند BitRAT و Lumma Stealer هستند که به شکل فایلهای تصویر PNG دریافت میشوند تا از شناسایی بدافزارها جلوگیری شود.
علاوه بر دانلود بدافزارهای BitRAT و Lumma Stealer، اسکریپتهای PowerShell دیگری نیز به این روش دریافت میشوند که هدف آنها ایجاد پایداری در سیستم قربانی است. همچنین یک لودر مبتنی بر .NET دریافت میشود که با هدف راهاندازی بدافزارهای نهایی استفاده میشود.
BitRAT یک بدافزار کنترل از راه دور (RAT) با ویژگیهای پیشرفته است که به مهاجمان امکان جمعآوری دادهها، استخراج ارزهای دیجیتال، دانلود فایلهای اجرایی و کنترل سیستمهای آلوده از راه دور را میدهد. Lumma Stealer یک بدافزار سرقت اطلاعات است که قادر است اطلاعاتی را از مرورگرهای وب، کیفپولهای ارز دیجیتال و سایر برنامهها و منابع حساس استخراج کند.
وبسایت مخربی که برای این حمله طراحی شده، ادعا میکند که «مشکلی در نمایش این صفحه وب پیش آمده» و از بازدیدکننده میخواهد تا دسترسی root را برای رفع مشکل فعال کند و سپس کدهای مخرب را در powershell اجرا میکند.
کد PowerShell مخرب پس از اجرا، کش DNS سیستم را پاکسازی میکند تا مطمئن شود که هیچ ردپای شبکهای باقی نمیماند و ارتباطات جدید با سرورهای مخرب برقرار میشود و برای ایجاد نوعی اطمینان یا فریب بیشتر یک پیام به کاربر نمایش میدهد. همچنین کدهای اضافی PowerShell را جهت اجرای عملکردهای مخرب بیشتری دانلود میکند و بدافزار LummaC2 را برای کنترل از راه دور سیستم آلوده و سرقت اطلاعات حساس نصب میکند. بدین ترتیب این کد به طور هوشمندانهای چندین عملیات را جهت جلوگیری از شناسایی و حذف توسط سیستمهای امنیتی اجرا کرده و دسترسی کامل به سیستم قربانی را برای مهاجمان ممکن میسازد.
منبع : افتانا