‫ حملات فیشینگ، کاربران بانک‌های اروپای شرقی را هدف قرار می‌دهد

مجرمان سایبری از برنامه‌های وب پیش‌رو (PWA) در جدیدترین کلاهبرداری فیشینگ سوء‌استفاده می‌کنند و کاربران تلفن همراه را در چک، مجارستان و گرجستان هدف قرار می‌دهند.

شرکت امنیت سایبری ESET موج جدیدی از کمپین‌های فیشینگ را کشف کرده است که از برنامه‌های کاربردی وب پیش‌رو (PWAs) استفاده می‌کنند و از نوامبر 2023 فعال هستند. طبق گزارش‌ها، بازیگران تهدید یک تکنیک جدید فیشینگ را ارائه کرده‌اند که از PWA برای فریب قربانیان ناآگاه استفاده می‌کند.

PWAها برنامه‌های کاربردی وب هستند که برای ارائه یک تجربه برنامه تقریباً بومی در دستگاه‌های تلفن همراه طراحی شده‌اند. کاربران می‌توانند آنها را روی صفحه اصلی خود نصب کرده و درست مانند برنامه‌های معمولی راه‌اندازی کنند. ESET گزارش می‌دهد که عوامل تهدید از ماهیت چند پلتفرمی PWA‌ها برای هدف قرار دادن کاربران iOS و Android با یک برنامه فیشینگ استفاده می‌کنند.

این کمپین معمولاً با یک پیوند فیشینگ ارائه شده از طریق پیامک، تبلیغات نادرست رسانه‌های اجتماعی یا تماس‌های صوتی خودکار شروع می‌شود و از کاربران می‌خواهد برای به‌روزرسانی‌های امنیتی یا پیشنهادات انحصاری کلیک کنند. با کلیک کردن روی پیوند، به وب‌سایتی می‌رسید که برای تقلید از فروشگاه رسمی برنامه یا وب‌سایت بانک مورد نظر طراحی شده است و از کاربران خواسته می‌شود نسخه جدیدی از برنامه را «نصب کنند».

پس از نصب، PWA مخرب به عنوان یک برنامه بانکی قانونی ظاهر می‌شود و کاربران را وادار می‌کند تا اعتبار ورود خود را وارد کنند. سپس این اطلاعات حساس به سرورهای مهاجم منتقل می‌شود و حساب‌های مالی کاربران را در معرض خطر قرار می‌دهد.

برخلاف دانلودهای سنتی برنامه، نصب PWA هیچ هشدار امنیتی ایجاد نمی‌کند، زیرا PWAها اساساً وب سایت‌هایی هستند که به عنوان برنامه ظاهر می‌شوند. این نصب بی‌صدا به ویژه برای کاربران iOS که به فرآیند نصب برنامه ایمن‌تر عادت دارند نگران کننده است.

این طرح می‌تواند حتی در دستگاه‌های اندرویدی فریبنده تر باشد. مهاجمان ممکن است از WebAPK‌ها استفاده کنند، فناوری که به کروم اجازه می‌دهد یک برنامه با ظاهر بومی از یک PWA تولید کند. این توهم یک برنامه قانونی را بیشتر تقویت می‌کند، زیرا WebAPK نصب شده نشان مرورگر را روی نماد خود ندارد.

محققان ESET چندین کمپین فیشینگ را مشاهده کرده‌اند که کاربران را در چک، مجارستان و گرجستان هدف قرار می‌دهند. این کمپین‌ها از حملات مبتنی بر PWA و WebAPK برای سرقت اطلاعات حساس استفاده کردند.

تعداد قابل توجهی از تلاش‌های فیشینگ به سمت مشتریان بانک‌های چک انجام شد و مهاجمان از تبلیغات رسانه‌های اجتماعی برای توزیع لینک‌های مخرب استفاده کردند. در مجارستان، مهاجمان مشتریان OTP Bank را هدف قرار دادند و یک حمله فیشینگ مبتنی بر PWA که یک بانک را هدف قرار داد در گرجستان مشاهده شد. تحقیقات ESET به سرعت به بانک‌های آسیب‌دیده اطلاع داد و به حذف چندین دامنه فیشینگ و سرورهای C&C کمک کرد.

تجزیه‌و تحلیل بیشتر دو کمپین فیشینگ مجزا را نشان داد که هر کدام از زیرساخت سرور C&C متفاوتی استفاده می‌کردند. این نشان دهنده حضور چندین عامل تهدید کننده است که از این روش جدید فیشینگ سوء‌استفاده می‌کنند.