کمیته رکن چهارم – شرکت امنیت سایبری CTM360 اعلام کرد یک کارزار فعال بدافزاری با سوءاستفاده از زیرساختهای گوگل، سازمانهایی در سراسر جهان را هدف قرار داده است. در این عملیات، بیش از ۴۰۰۰ گروه مخرب در Google Groups و حدود ۳۵۰۰ نشانی اینترنتی میزبانیشده روی سرویسهای گوگل مورد استفاده قرار گرفتهاند.
به گزارش کمیته رکن چهارم، مهاجمان با انتشار پستهای بهظاهر فنی در انجمنهای Google Groups و طرح موضوعاتی مانند خطاهای شبکه یا مشکلات احراز هویت، کاربران را به دانلود فایلهایی با عناوین فریبنده نظیر «Download [Organization Name] for Windows 10» ترغیب میکنند.
برای افزایش اعتبار، در متن این پستها از نام سازمانها و کلیدواژههای صنعتی استفاده میشود. لینکهای ارائهشده نیز از طریق Google Docs و Google Drive یا سرویسهای کوتاهکننده لینک هدایت میشوند تا فرآیند شناسایی دشوارتر شود. این ریدایرکتورها سیستمعامل قربانی را تشخیص داده و بسته به نوع سیستم، محموله متفاوتی ارسال میکنند.
آلودگی کاربران ویندوز
در مسیر ویندوز، کاربر به دانلود یک فایل فشرده دارای گذرواژه هدایت میشود. حجم فایل پس از استخراج به حدود ۹۵۰ مگابایت میرسد، در حالی که محموله واقعی حدود ۳۳ مگابایت است. فایل اجرایی با بایتهای صفر پر شده تا از برخی مکانیزمهای تحلیل ایستا عبور کند.
پس از اجرا، بدافزار فایلهای قطعهبندیشده را بازسازی کرده، یک فایل کامپایلشده با AutoIt را اجرا میکند و در نهایت محموله اصلی را در حافظه رمزگشایی مینماید. رفتار مشاهدهشده با Lumma Info-Stealer مطابقت دارد؛ بدافزاری که برای سرقت اعتبارنامههای مرورگر، کوکیهای نشست و دادههای حساس مورد استفاده قرار میگیرد.
هدفگیری کاربران لینوکس
کاربران لینوکس به دانلود مرورگری مبتنی بر Chromium با نام «Ninja Browser» هدایت میشوند که نسخهای تروجانسازیشده است. این نرمافزار افزونههای مخرب نصب کرده، دادههای مرورگر را دستکاری میکند و از طریق وظایف زمانبندیشده با سرورهای تحت کنترل مهاجم ارتباط برقرار میکند تا دسترسی پایدار حفظ شود.
ریسکها برای سازمانها
این کارزار با تکیه بر زیرساختهای معتبر گوگل میتواند از برخی فیلترهای مبتنی بر اعتماد عبور کند. خطرات اصلی شامل سرقت اعتبارنامه، تصاحب حسابهای سازمانی، تقلب مالی و حرکت جانبی در شبکه است.
توصیههای امنیتی
به سازمانها توصیه شده است زنجیرههای ریدایرکت در اسناد Google Docs و Drive را بررسی کنند، شاخصهای نفوذ را در سطح فایروال و EDR مسدود سازند، ایجاد وظایف زمانبندیشده جدید را پایش کنند و نصب افزونههای مرورگر را ممیزی نمایند.
منبع: BleepingComputer
