شناسایی کارزار پیچیده فیشینگ چندمرحله‌ای با توزیع Amnesia RAT و باج‌افزار در روسیه

کمیته رکن چهارم – پژوهشگران امنیتی از شناسایی یک حمله فیشینگ چندمرحله‌ای هدفمند علیه کاربران روسیه خبر داده‌اند که به استقرار باج‌افزار و تروجان Amnesia RAT منتهی شده و از بسترهایی چون GitHub و Dropbox برای تحویل payloadها استفاده می‌کند.

به گزارش کمیته رکن چهارم، تیم Fortinet FortiGuard Labs کارزاری را شناسایی کرده‌اند که از طریق مهندسی اجتماعی و طعمه‌های تجاری، قربانیان را به اجرای فایل‌های مخرب ترغیب می‌کند. این فایل‌ها در قالب اسناد متنی روسی‌زبان و میان‌برهای LNK با پسوندهای گمراه‌کننده ارائه شده‌اند. هدف اصلی این زنجیره حمله، استقرار Amnesia RAT و یک باج‌افزار مشتق‌شده از خانواده Hakuna Matata است.

این کارزار از سرویس‌هایی چون GitHub برای میزبانی اسکریپت‌های مرحله اول و Dropbox برای تحویل فایل‌های اجرایی نهایی بهره گرفته و با استفاده از ابزار defendnot، Microsoft Defender را به‌طور کامل غیرفعال می‌کند. ابزار defendnot پیش‌تر توسط یک پژوهشگر به‌عنوان یک روش فریب‌دهنده برای ثبت آنتی‌ویروس جعلی در سیستم معرفی شده بود.

فرآیند آلودگی با اجرای یک فایل LNK آغاز می‌شود که یک فرمان PowerShell را فراخوانی کرده و اسکریپت مرحله بعدی را از GitHub بارگذاری می‌کند. این اسکریپت با پنهان‌سازی پنجره اجرا، سندی جعلی را برای منحرف‌کردن توجه کاربر نمایش داده و هم‌زمان از طریق API تلگرام به مهاجم اطلاع‌رسانی می‌کند.

در مراحل بعد، یک اسکریپت Visual Basic مبهم‌سازی‌شده اجرا می‌شود که payloadهای نهایی را به‌صورت مستقیم در حافظه بارگذاری می‌کند. این فرآیند شامل بررسی سطح دسترسی، نمایش پیام‌های مکرر UAC، افزودن استثناهای امنیتی، غیرفعال‌سازی ابزارهای مدیریتی ویندوز و ربایش ارتباط فایل‌ها برای نمایش پیام‌های باج‌خواهی است.

Amnesia RAT به‌عنوان یکی از payloadهای نهایی، قابلیت‌هایی چون سرقت اطلاعات از مرورگرها، کیف‌پول‌های رمزارزی، نرم‌افزارهای پیام‌رسان، ضبط صدای میکروفون، دسترسی به وب‌کم، و تعامل از راه دور با سیستم را داراست. در کنار آن، باج‌افزار نیز با متوقف‌سازی پردازه‌های مزاحم و جایگزینی آدرس کیف‌پول در کلیپ‌بورد، روند اخاذی را تکمیل می‌کند. همچنین اجرای ابزار WinLocker مانع از استفاده کاربر از سیستم می‌شود.

به گفته کارا لین، پژوهشگر Fortinet، این حمله بدون نیاز به بهره‌برداری از آسیب‌پذیری‌های نرم‌افزاری انجام شده و صرفاً با اتکا به ابزارها و قابلیت‌های داخلی ویندوز، کنترل کامل سیستم را در اختیار مهاجم قرار می‌دهد.

مایکروسافت برای مقابله با سوءاستفاده از ابزارهایی چون defendnot توصیه کرده است قابلیت Tamper Protection در Defender فعال شده و فعالیت‌های مشکوک پیرامون تغییرات این سرویس و استفاده از APIها به‌دقت پایش شوند.

این حمله بار دیگر اهمیت پایش دقیق رفتار فایل‌های اجرایی، کنترل اجرای اسکریپت‌ها و آموزش کاربران برای مقابله با فیشینگ هدفمند را برجسته می‌سازد.