کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی یک کارزار جدید فیشینگ خبر دادهاند که با سوءاستفاده از پیامهای خصوصی در شبکههای اجتماعی، کاربران را به دانلود فایلهای مخرب ترغیب کرده و زمینه استقرار بدافزارهای دسترسی از راه دور را فراهم میکند.
به گزارش کمیته رکن چهارم، بررسیهای شرکت ReliaQuest نشان میدهد این کارزار با ارسال پیامهای هدفمند در شبکههایی مانند لینکدین آغاز میشود. مهاجمان پس از جلب اعتماد قربانیان، آنها را فریب میدهند تا یک آرشیو خوداستخراج WinRAR مخرب را دانلود و اجرا کنند.
پس از اجرا، این فایل چند مؤلفه را روی سیستم قربانی مستقر میکند؛ از جمله یک برنامه معتبر مشاهده PDF، یک DLL مخرب که از طریق تکنیک DLL Side-Loading بارگذاری میشود، یک مفسر قابلحمل Python و یک فایل طعمه برای گمراهسازی کاربر. استفاده از DLL Side-Loading به مهاجمان اجازه میدهد فعالیت مخرب خود را در قالب فرآیندهای معتبر پنهان کرده و از شناسایی امنیتی فرار کنند.
در ادامه زنجیره حمله، DLL مخرب با نصب مفسر Python و ایجاد ماندگاری در رجیستری ویندوز، زمینه اجرای شلکُد رمزگذاریشده در حافظه را فراهم میکند؛ روشی که بدون ایجاد ردپا روی دیسک انجام میشود. در نهایت، بدافزار تلاش میکند با سرور راهدور ارتباط برقرار کرده و دسترسی پایدار مهاجم به سیستم آلوده را ممکن سازد.
ReliaQuest تأکید کرده است که این کارزار ماهیتی گسترده و فرصتطلبانه دارد و به دلیل انجام حملات در پیامهای خصوصی شبکههای اجتماعی، ارزیابی دامنه واقعی آن دشوار است. برخلاف ایمیل، این پیامها معمولاً تحت نظارت و کنترلهای امنیتی کمتری قرار دارند و همین موضوع آنها را به کانالی جذاب برای فیشینگ تبدیل کرده است.
کارشناسان امنیتی هشدار میدهند که محدود ماندن دفاعهای سازمانی به ایمیل کافی نیست و شبکههای اجتماعی باید بهعنوان یکی از مسیرهای اصلی نفوذ اولیه در نظر گرفته شوند. افزایش آگاهی کاربران، پایش رفتار اجرای فایلها و کنترل استفاده از ابزارهای مشروع میتواند نقش مهمی در کاهش ریسک این نوع حملات ایفا کند.
منبع: The Hacker News
