کمیته رکن چهارم – یک کارزار فعال بدافزاری با سوءاستفاده از تکنیک DLL Side-Loading و باینریهای امضاشده، موفق به دور زدن کنترلهای امنیتی و توزیع انواع تروجانها و استیلرها شده است.
به گزارش کمیته رکن چهارم، کارشناسان امنیت سایبری از شناسایی یک کارزار مخرب خبر دادهاند که با سوءاستفاده از DLL Side-Loading در فایل اجرایی معتبر ahost.exe، بدافزارهای متنوعی را بهصورت پنهانی اجرا میکند. مهاجمان با قرار دادن یک DLL مخرب در کنار این باینری امضاشده، کد خود را بدون جلب توجه ابزارهای امنیتی اجرا میکنند.
بر اساس گزارش شرکت Trellix، این کارزار برای توزیع بدافزارهایی مانند Agent Tesla، Lumma Stealer، Vidar Stealer، Remcos RAT، DCRat و XWorm مورد استفاده قرار گرفته است. اهداف اصلی این حملات کارکنان حوزههای مالی، تدارکات و زنجیره تأمین در بخشهای تجاری و صنعتی هستند و طعمهها به چندین زبان از جمله فارسی تهیه شدهاند.
مهاجمان با استفاده از نامهای جعلی شبیه فاکتور، سفارش خرید یا قرارداد فروش، کاربران را به اجرای فایلهای آلوده ترغیب میکنند. فایل ahost.exe که در این حملات استفاده میشود، بهطور قانونی امضا شده و همین موضوع شناسایی تهدید را دشوارتر کرده است.
همزمان، Trellix از افزایش حملات فیشینگ فیسبوک با تکنیک Browser-in-the-Browser خبر داده که در آن صفحات ورود جعلی درون مرورگر شبیهسازی میشوند. همچنین یک کارزار جداگانه برای توزیع AsyncRAT با استفاده از Python، لینکهای Dropbox و زیرساخت TryCloudflare شناسایی شده است.
کارشناسان هشدار میدهند که سوءاستفاده از نرمافزارهای مورد اعتماد، زیرساختهای ابری معتبر و تکنیکهای Living-off-the-Land در حال افزایش است و سازمانها باید پایش رفتاری، کنترل بارگذاری DLL و سختگیری در ایمیلها و لینکها را در اولویت قرار دهند.
