آخرین اخبار
صفحه اصلی
اخبار

سوءاستفاده گروه Black Cat از نتایج جعلی جست‌وجو برای سرقت اطلاعات کاربران

تاریخ:
در: اخبار, امنیت سایبری
دیدگاهتان را بنویسید:
388 نمایش ها

کمیته رکن چهارم – گزارش مشترک CNCERT/CC و ThreatBook نشان می‌دهد گروه تهدید سایبری Black Cat با یک کمپین سئو سمی، کاربران را از طریق نتایج جعلی موتورهای جست‌وجو به دام می‌اندازد و بدافزار سرقت‌کننده اطلاعات را روی دستگاه‌ها نصب می‌کند.

به گزارش کمیته رکن چهارم، مرکز پاسخ به فوریت‌های رایانه‌ای چین (CNCERT/CC) و شرکت امنیتی ThreatBook در گزارشی تازه اعلام کرده‌اند که گروه سایبری موسوم به Black Cat که از سال ۲۰۲۲ فعالیت می‌کند، از تکنیک سمی‌سازی نتایج موتورهای جست‌وجو (SEO Poisoning) برای فریب کاربران و نصب بدافزارهای مخرب بهره می‌برد.

بر اساس این تحلیل، مهاجمان با ایجاد سایت‌های جعلی که در رتبه‌های برتر موتورهای جست‌وجویی مانند Microsoft Bing ظاهر می‌شوند، کاربران را تشویق به دانلود برنامه‌های پرطرفدار می‌کنند. این سایت‌ها نسخه‌های تقلبی نرم‌افزارهای شناخته‌شده مانند Google Chrome، Notepad++، QQ International و iTools را به‌صورت لینک دانلود در نتایج نشان می‌دهند.

🎯 چگونه حمله انجام می‌شود؟

۱. سمی‌سازی نتایج جست‌وجو:
سایت‌های جعلی به‌گونه‌ای بهینه شده‌اند که هنگام جست‌وجوی نام نرم‌افزارها در موتورهای جست‌وجو، در نتایج بالاتر ظاهر شوند.

فریب کاربر با صفحه دانلود:
کاربر با دیدن صفحه‌ای که ظاهراً مشابه صفحه رسمی نرم‌افزار است، روی دکمه «دانلود» کلیک می‌کند. این لینک او را به دامنه‌ای جعلی شبیه GitHub به آدرس github.zh‑cns[.]top هدایت می‌کند.

اجرای آلودگی:
فایل ZIP دریافتی شامل یک نصب‌کننده و یک میانبر دسکتاپ است؛ با اجرای میانبر، یک فایل DLL مخرب به‌صورت side‑loaded اجرا شده و در پنهان‌ترین حالت ممکن، یک درب پشتی (backdoor) روی سیستم نصب می‌شود.

🦠 عملکرد بدافزار

پس از آلوده شدن سیستم، بدافزار با یک سرور راه‌دور به آدرس sbido[.]com:2869 ارتباط برقرار می‌کند و قابلیت‌های زیر را فعال می‌سازد:

  • سرقت اطلاعات مرورگرها
  • ضبط کلیدهای فشرده‌شده (keylogging)
  • استخراج محتوای کلیپ‌بورد
  • سرقت داده‌های حساس دیگر

این ترکیب از تکنیک‌های نفوذ باعث می‌شود مهاجمان بتوانند نه‌فقط اطلاعات ساده، بلکه داده‌های حساس ورود به حساب‌ها، رمزهای ذخیره‌شده و سایر محتوای خصوصی را به‌دست آورند.

🌐 دامنه‌های جعلی مرتبط

تحلیل تهدید نشان می‌دهد گروه Black Cat برای فریب کاربران از دامنه‌های ساخته‌شده با پسوند یا پیشوند «cn» استفاده کرده است، مانند:

  • cn-notepadplusplus[.]com
  • cn-obsidian[.]com
  • cn-winscp[.]com
  • notepadplusplus[.]cn

این شیوه به‌ویژه در بین کاربران چینی رایج بوده، اما ممکن است سایر کاربران را نیز در معرض خطر قرار دهد.

توصیه‌های امنیتی

کارشناسان امنیت سایبری برای محافظت در برابر این نوع حملات تاکید می‌کنند که:

🔹 فقط از سایت‌های رسمی یا منابع معتبر برای دانلود نرم‌افزار استفاده کنید و نه از طریق نتایج تبلیغی جست‌وجو.
🔹 روی لینک‌های تبلیغاتی بالا در نتایج جست‌وجو کلیک نکنید، حتی اگر در رتبه اول باشند.
🔹 ابزارهای امنیتی پیشرفته را برای شناسایی و مسدودسازی میانبرها و فایل‌های DLL مشکوک فعال نگه دارید.
🔹 در سازمان‌ها، فیلترینگ پیام‌های شبکه‌ای و مانیتورینگ ترافیک خروجی باید به‌صورت مستمر اجرا شود.
🔹 به‌روزرسانی منظم نرم‌افزار و سیستم عامل می‌تواند مانع بهره‌برداری از ضعف‌های شناخته‌شده شود.

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.