کمیته رکن چهارم – کارشناسان امنیت سایبری اخیرا از انتشار بدافزاری با استفاده از بهروزرسانی جعلی مرورگرها هشدار دادهاند که حملات با هدایت کاربران به وب سایتهای آلوده و دانلود فایلهای مخرب توسط آنها انجام میشود.
بدافزارها شامل نرمافزارهای جاسوسی و یا برنامههای تبلیغاتی مزاحم مانند ردیابی کوکیهاست که به ردیابی علاقهمندیهای کاربران در رایانه میپردازند. واژه بدافزار کوتاه شده نرمافزار مخرب (malicious software) است. این واژه اصطلاحی عمومی برای توصیف همه ویروسها، کرمها، جاسوسافزارها و تقریباً هر چیزی که به طور خاص برای صدمه به رایانه و یا سرقت اطلاعات طراحی شده است.
واژه ویروسهای رایانهای اغلب به جای بدافزار استفاده میشود، هرچند در واقع این دو واژه به یک معنی نیستند و در دقیقترین معنی، ویروس برنامهای است که خود را مدام تکثیر کرده و رایانه را با گسترش خود از یک فایل به فایل دیگر آلوده میکند، سپس وقتی فایلها از یک رایانه به دیگری کپی شده و بین دو یا چند رایانه به اشتراک گذاشته میشوند، از کامپیوتر آلوده به دیگران منتقل میشود و این روند همچنان ادامه پیدا میکند.
نکته قابل توجه این است بدافزارها دارای برخی ویژگیهای کلیدی هستند که آن را از دیگر نرمافزارهای مخرب مجزا میکند که رمزگذاری غیرقابل شکست از جمله ویژگیهای آن است؛ به این معنی که نمیتوان فایلها را خودتان رمزگشایی کنید اما بدافزار میتواند انواع فایلها، از اسناد تا تصاویر، فایلهای صوتی و سایر مواردی که ممکن است روی رایانه باشد، رمزگذاری کند.
در این راستا اخیرا مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای( ماهر) از انتشار بدافزاری با استفاده از بهروزرسانی جعلی مرورگرها هشدار داده است. در واقع مهاجمان سایبری با استفاده از بهروزرسانیهای جعلی مرورگرها، بدافزارهایی نظیر BitRAT و Lumma Stealer را توزیع میکنند.
این حملات با هدایت کاربران به وبسایتهای آلوده و دانلود فایلهای مخرب توسط آنها آغاز میشوند. با بازدید قربانیان از یک وبسایت آلوده که در آن کدی به زبان جاوااسکریپت قرار داده شده است، کاربران به یک صفحه جعلی بهروزرسانی مرورگر هدایت میشوند که تحت دامنهای مانند “abcde-app[.]cloud” قرار دارد. هدف این حمله فریب کاربران برای دانلود و نصب نرمافزارهای مخرب یا انجام اقدامات مخرب دیگر است.
پس از هدایت کاربران به صفحه جعلی بهروزرسانی مرورگر، در این صفحه یک لینک دانلود قرار داده شده است که به یک فایل ZIP به نام “Update.zip” اشاره دارد. این فایل ZIP در پلتفرم Discord میزبانی میشود و به صورت خودکار در دستگاه قربانی دانلود میشود. این کار دستگاه قربانی را با بدافزارهای موجود در فایل ZIP آلوده میکند. در داخل این فایل ZIP، یک فایل جاوااسکریپت دیگر به نام “Update.js” وجود دارد. این فایل جاوااسکریپت باعث اجرای اسکریپتهای PowerShell میشود.
وظیفه این اسکریپتها دانلود payloadهای اضافی از یک سرور راه دور است. این payloadهای اضافی شامل بدافزارهایی مانند BitRAT و Lumma Stealer هستند که به شکل فایلهای تصویر PNG دریافت میشوند تا از شناسایی بدافزارها جلوگیری شود.
علاوه بر دانلود بدافزارهای BitRAT و Lumma Stealer، اسکریپتهای PowerShell دیگری نیز به این روش دریافت میشوند که هدف آنها ایجاد پایداری در سیستم قربانی است. همچنین یک لودر مبتنی بر .NET دریافت میشود که با هدف راهاندازی بدافزارهای نهایی استفاده میشود.
جزئیات بدافزارها و برخی تکنیکهای مربوط به این حمله در ادامه تشریح شده است.
BitRAT: یک بدافزار کنترل از راه دور (RAT) با ویژگیهای پیشرفته است که به مهاجمان امکان جمعآوری دادهها، استخراج ارزهای دیجیتال، دانلود فایلهای اجرایی و کنترل سیستمهای آلوده از راه دور را میدهد.
Lumma Stealer: یک بدافزار سرقت اطلاعات است که قادر است اطلاعاتی را از مرورگرهای وب، کیفپولهای ارز دیجیتال و سایر برنامهها و منابع حساس استخراج کند.
وبسایت مخربی که برای این حمله طراحی شده، ادعا میکند که “مشکلی در نمایش این صفحه وب پیش آمده” و از بازدیدکننده میخواهد تا دسترسی root را برای رفع مشکل فعال کند و سپس کدهای مخرب را در powershell اجرا میکند. کد PowerShell مخرب پس از اجرا چندین کار را انجام میدهد.
پاکسازی کش DNS: کد PowerShell کش DNS سیستم را پاکسازی میکند تا مطمئن شود که هیچ ردپای شبکهای باقی نمیماند و ارتباطات جدید با سرورهای مخرب برقرار میشود.
نمایش یک Message Box: یک پیام به کاربر نمایش میدهد، احتمالاً برای ایجاد نوعی اطمینان یا فریب بیشتر.
دانلود کدهای PowerShell بیشتر: کدهای اضافی PowerShell را جهت اجرای عملکردهای مخرب بیشتری دانلود میکند.
نصب بدافزار ‘LummaC2’: بدافزار LummaC2 را برای کنترل از راه دور سیستم آلوده و سرقت اطلاعات حساس نصب میکند.
بدین ترتیب این کد به طور هوشمندانهای چندین عملیات را جهت جلوگیری از شناسایی و حذف توسط سیستمهای امنیتی اجرا کرده و دسترسی کامل به سیستم قربانی را برای مهاجمان ممکن میسازد.
بنابراین طبق موارد گفته شده مرکز ماهر درباره توصیه امنیتی لازم گفته است بیش از ۵۰,۰۰۰ لینک خطرناک در شش ماه گذشته برای توزیع بدافزارها، انجام حملات فیشینگ و ارسال هرزنامه (ایمیلهای اسپم) استفاده شدهاند که نشاندهنده افزایش فراگیری این نوع حملات است. بنابراین، لازم است که کاربران و سازمانها نه تنها به بهروزرسانیهای امنیتی سیستمهای خود اهمیت دهند، بلکه به آگاهی و آموزش مداوم درباره جدیدترین تهدیدات و روشهای حمله نیز توجه ویژهای داشته باشند. این تغییر در رویکرد به امنیت سایبری، میتواند کلید مقابله با موج جدید حملات هوشمندانه و پیچیده باشد.
گفتنی است اواخر سال گذشته هم از حمله یک بدافزار به سیستم های ویندوزی خبرداده شد. درباره این بدافزار اینگونه توضیح داده شد که AgentTesla یک بدافزار ویندوزی نوشته شده به زبان داتنت است و جهت سرقت اطلاعات حساس از سیستمهای قربانیان طراحی شده است. این بدافزار به دلیل دسترسی آسان و هزینه نسبتاً پایین، به عنوان یک commodity malware شناخته میشود.
بدافزار گفته شده به مهاجمان با دانش فنی محدود این امکان را میدهد که انواع حملات سایبری مختلف را انجام دهند. AgentTesla از طریق ایمیلهای آلوده، فایلهای دانلود شده از منابع ناامن یا وبسایتهای مخرب منتشر میشود و پس از نصب در سیستم قربانی، به طور مخفیانه اجرا شده و شروع به جمعآوری اطلاعات میکند.
منبع : ایتنا