‫ fars_sakha بلاگ

کلاهبرداری فیشینگ جدید با استفاده از ربات‌های چت جعلی و ایمیل‌های پشتیبانی، حساب‌های تجاری اینستاگرام را هدف قرار می‌دهد و کاربران را فریب می‌دهد تا اعتبار ورود به سیستم را تحویل دهند.

یک کمپین فیشینگ جدید، کاربران را فریب می‌دهد تا به حساب‌های تجاری متا خود به ویژه اینستاگرام دسترسی داشته باشند. این کلاهبرداری که توسط مرکز دفاع فیشینگCofense شناسایی شده است، از پشتیبانی چت جعلی، دستورالعمل‌های دقیق استفاده می‌کند و تلاش می‌کند تا خود را به عنوان یک روش ورود امن برای ربودن حساب‌های تجاری اضافه کند.

کمپین فیشینگ با یک ایمیل هشدار جعلی اینستاگرام مبنی بر تعلیق تبلیغات کاربر به دلیل نقض قوانین تبلیغات شروع می‌شود. این ایمیل که به نظر می‌رسد از طرف تیم پشتیبانی اینستاگرام باشد، از کاربر می‌خواهد تا برای حل مشکل روی دکمه «بررسی جزئیات بیشتر» کلیک کند. با این حال، ایمیل در واقع از یک آدرسSalesforce (noreply@salesforce.com) ارسال می‌شود، نه ایمیل پشتیبانی رسمی اینستاگرام.

این کلاهبرداری بسیار شبیه همان چیزی است که در فوریه 2025 به کاربران فیس‌بوک حمله کرد، جایی که کلاهبرداران از ایمیل‌هایSalesforce خودکار استفاده کردند تا با تظاهر به اعلامیه‌های حق نسخه‌برداری فیس‌بوک، افراد را فریب دهند تا اعتبار ورود خود را واگذار کنند.

پشتیبانی از چت جعلی از طریق چت‌بات، فیشینگ و 2FA - همه در یک کلاهبرداری
در آخرین کلاهبرداری، هنگامی که کاربر برای جزئیات بیشتر روی پیوند کلیک می‌کند، به یک صفحه جعلی(businesshelp-managercom) هدایت می‌شود که شبیه به یک صفحه تجاری متا قانونی است. این صفحه به کاربر اطلاع می‌دهد که حسابش در خطر تعلیق و فسخ است و از او می‌خواهد نام و ایمیل تجاری خود را وارد کند تا به یک نماینده پشتیبانی چت ادامه دهد.

سپس مهاجم از دو روش برای ربودن حساب تجاری استفاده می‌کند: یک چت بات پشتیبانی فنی جعلی یا یک "راهنمای راه‌اندازی" فرضی با دستورالعمل‌های گام به گام. ربات چت از کاربر اسکرین شات از حساب تجاری و اطلاعات شخصی خود می‌خواهد، در حالی که راهنمای راه‌اندازی دستورالعمل‌هایی در مورد نحوه افزودن احراز هویت دو مرحله‌ای(2FA) به حساب تجاری کاربر ارائه می‌دهد.

اگر تلاش فیشینگ ربات چت ناموفق باشد، مهاجم یک راهنمای آموزشی برای افزودن احراز هویت دو مرحله‌ای(2FA) به حساب تجاری کاربر ارائه می‌دهد. این راهنما روشی را تقلید می‌کند که خودتان آن را انجام دهید تا حساب کاربر را «تصحیح» کنید. به کاربران دستور داده می‌شود تا روی دکمه «مشاهده وضعیت حساب» کلیک کنند، که دستورالعمل‌های دقیق درباره نحوه شروع «بررسی سیستم» و رفع مشکل را نشان می‌دهد. با این حال، پیروی از این مراحل به مهاجم راه دیگری برای ورود به حسابBusiness Meta از طریق برنامهAuthenticator هکر به نام"SYSTEM CHECK" می‌دهد.

طبق پست وبلاگCofence که باHackread.com به اشتراک گذاشته شده است، مهاجمان تلاش زیادی کرده‌اند تا این کلاهبرداری قانونی به نظر برسد. ایمیل‌ها و صفحات فرود بسیار شبیه ارتباطات رسمی متا هستند‌ و گنجاندن پشتیبانی عامل زنده لایه‌ای از فریب را اضافه می‌کند. مهاجمان حتی دستورالعمل‌های ویدیویی را ارائه می‌کنند که جزئیات نحوه فریب کاربر را برای اضافه کردن آنها به عنوان یک روش 2FA ارائه می‌کنند.

آنچه کاربران باید انجام دهند
این کمپین فیشینگ از کلاهبرداری‌های معمول متمایز است و نشان می‌دهد که چرا همه کسانی که از رسانه‌های اجتماعی استفاده می‌کنند باید از ترفندهای رایج مهندسی اجتماعی که کلاهبرداران این روزها استفاده می‌کنند آگاه باشند. همیشه فرستنده را دوباره چک کنید و قبل از کلیک کردن روی هر چیزی، URL را از نزدیک بررسی کنید. استفاده از برنامه‌هایی مانندGoogle Authenticator وMicrosoft Authenticator می‌تواند به مسدود کردن تلاش‌های ورود به سیستم از مکان‌های مشکوک و دستگاه‌های ناشناس کمک کند.

منبع

hackread

Forcepoint X-Labs فاش می‌کند که هکرها از فایل‌هایVHD برای گسترش بدافزارVenomRAT استفاده می‌کنند و نرم‌افزار امنیتی را دور می‌زنند. 

محققان امنیت سایبری درForcepoint X-Labs یک کمپین بدافزار جدید و حیله‌آمیز را شناسایی کرده‌اند که در حال پخش و آلوده کردن دستگاه‌های هدف باVenomRAT، یک تروجان دسترسی از راه دور، شناخته شده برای هدف قرار دادن محققان در حملات جعلیPoC (اثبات مفهوم) است.

در این کمپین، مجرمان سایبری به جای اسناد یا فایل‌های اجرایی که معمولاً آلوده شده‌اند، VenomRAT خطرناک پنهان شده در فایل تصویری هارد دیسک مجازی(vhd.) را تحویل می‌دهند.

کمپین با یک ایمیل فیشینگ آغاز می‌شود. این بار طعمه یک سفارش خرید ظاهرا بی‌ضرر است. با این حال، باز کردن بایگانی پیوست یک سند معمولی را نشان نمی‌دهد. در عوض، کاربران یک فایل.vhd را پیدا می‌کنند. محفظه‌ای که یک هارد دیسک فیزیکی را تقلید می‌کند.

هنگامی که کاربر فایل.vhd را باز می‌کند، رایانه او با آن مانند یک درایو جدید رفتار می‌کند. اما این یک درایو پر از فایل‌های قانونی نیست. این شامل یک اسکریپت دسته‌ای مخرب است که برای ایجاد آسیب طراحی شده است. استفاده از فایل.vhd برای انتشار بدافزار یک ترفند جدید است. از آنجایی که این فایل‌ها معمولاً برای تصویربرداری و مجازی‌سازی دیسک استفاده می‌شوند، نرم‌افزار امنیتی همیشه آن‌ها را به‌عنوان یک تهدید علامت‌گذاری نمی‌کند.

پراشانت کومار، محقق امنیتی درForcepoint X-Labs توضیح می‌دهد: "این یک رویکرد منحصر به فرد است." مهاجمان دائماً به دنبال راه‌هایی برای فرار از شناسایی هستند و مخفی کردن بدافزار در تصویر هارد دیسک مجازی نمونه خوبی از آن است.

حمله و سرقت اطلاعات کاربر
طبق تحقیقاتForcepoint X-Labs که باHackread.com به اشتراک گذاشته شده است، اسکریپت بدافزار با چندین لایه کد پنهان می‌شود و پس از فعال شدن، یک‌سری فعالیت‌های مخرب را اجرا می‌کند. با خود تکثیر شروع می‌شود و مطمئن می‌شوید که یک کپی همیشه در دسترس است.

سپس، PowerShell را راه‌اندازی می‌کند، یک ابزار قانونی ویندوز که اغلب توسط مهاجمان مورد سوء‌استفاده قرار می‌گیرد‌ و با قرار دادن یک اسکریپت مخرب در پوشهStartup، پایداری را ایجاد می‌کند و به آن اجازه می‌دهد هر زمان که کاربر وارد سیستم می‌شود، به طور خودکار اجرا شود. برای حفاری بیشتر، اسکریپت تنظیمات رجیستری ویندوز را تغییر می‌دهد و شناسایی و حذف آن را سخت‌تر می‌کند.

این بدافزار همچنین با اتصال بهPastebin، یک پلتفرم محبوب اشتراک‌گذاری متن، از ارتباطات پنهان استفاده می‌کند تا دستورالعمل‌ها را از یک سرور فرمان و کنترل از راه دور(C2) که به عنوان مرکز فرماندهی مهاجم عمل می‌کند، دریافت کند. پس از ایجاد، بدافزار سرقت داده‌ها را آغاز می‌کند، فشارهای کلید را ثبت می‌کند و اطلاعات حساس را در یک فایل پیکربندی ذخیره می‌کند. همچنین برای کمک به رمزگذاری و دست‌کاری سیستم، اجزای اضافی از جمله یک فایل اجرایی دات نت را دانلود می‌کند.

محققان خاطرنشان کردند که این نوعVenomRAT ازHVNC (محاسبات شبکه مجازی پنهان) استفاده می‌کند، یک سرویس کنترل از راه دور که به مهاجمان اجازه می‌دهد تا سیستم آلوده را بدون شناسایی کنترل کنند.

چه چیزی برای کاربران ناخواسته اتفاق می‌افتد؟
مراقب پیوست‌های ایمیل باشید، حتی اگر قانونی به نظر برسند. به خصوص اگر از فرستنده ناشناس آمده باشند. اگر فاکتور یا سفارش خرید غیرمنتظره‌ای دریافت کردید، به جزئیات تماس در ایمیل اعتماد نکنید. آن را مستقیماً با فرستنده با استفاده از یک شماره تلفن یا ایمیل شناخته شده تأیید کنید.

به روز نگه داشتن سیستم عامل، آنتی ویروس و ابزارهای امنیتی برای جلوگیری از اجرای تهدیدات در سیستم شما بسیار مهم است. در نهایت، مطمئن شوید که تیم شما می‌داند چگونه تلاش های فیشینگ را شناسایی و گزارش کند. آگاهی و عقل سلیم دو مورد از بهترین اقدامات امنیت سایبری هستند که هر کسی می‌تواند در هر مکان و در هر زمان از آن استفاده کند.

منبع

hackread

محققان امنیت سایبری در Jscamblers یک کمپین پیچیده وب اسکیمینگ را کشف کرده‌اند که خرده فروشان آنلاین را مورد هدف قرار می‌دهد. این کمپین از یک رابط برنامه‌نویسی برنامه‌نویسی قدیمی (API) استفاده می‌کند تا جزئیات کارت اعتباری سرقت شده را قبل از انتقال به سرورهای مخرب در زمان واقعی تأیید کند. این تکنیک به مهاجمان این امکان را می‌دهد تا مطمئن شوند که فقط شماره‌های کارت فعال و معتبر را جمع‌آوری می‌کنند و کارایی و سود بالقوه عملیات خود را به میزان قابل توجهی افزایش می‌دهند.

بر اساس تجزیه‌و تحلیل Jscrambler که با Hackread.com به اشتراک گذاشته شده است، این عملیات مرور وب حداقل از آگوست 2024 ادامه داشته است. این حمله با تزریق کد جاوا اسکریپت مخرب، طراحی شده برای تقلید از فرم های پرداخت قانونی، به صفحات پرداخت وب‌سایت‌های هدف شروع می‌شود. این کد اطلاعات پرداخت مشتری را به محض وارد کردن دریافت می‌کند. مرحله دوم شامل مبهم‌سازی با استفاده از یک رشته رمزگذاری شده با base64 است که URL‌های مهم را از تجزیه‌و تحلیل‌های امنیتی ایستا، مانند آنچه که توسط فایروال‌های برنامه کاربردی وب (WAF) انجام می‌شود، پنهان می‌کند.

نوآوری کلیدی در این کمپین در استفاده از نسخه منسوخ شده Stripe API، یک سرویس پردازش پرداخت محبوب، برای تأیید اعتبار کارت قبل از ارسال داده‌ها به سرورهای مهاجمان نهفته است. در مرحله سوم، iframe قانونی Stripe پنهان می‌شود و با یک تقلید فریبنده جایگزین می‌شود و دکمه "Place Order" کلون می‌شود و اصل را پنهان می‌کند. داده‌های پرداخت وارد شده با استفاده از API Stripe تأیید می‌شود و جزئیات کارت، در صورت تأیید، به سرعت به یک سرور دراپ که توسط مهاجمان کنترل می‌شود، منتقل می‌شود. سپس از کاربر خواسته می‌شود که صفحه را پس از یک پیام خطا دوباره بارگذاری کند.

محققان شناسایی کرده‌اند که خرده‌فروشان آنلاین تحت تأثیر در درجه اول آنهایی هستند که از پلتفرم‌های تجارت الکترونیک محبوب مانند WooCommerce، WordPress و PrestaShop استفاده می‌کنند. آنها همچنین انواع Silent Skimmer را مشاهده کردند، اما نه به طور مداوم. حدود 49 تاجر آسیب دیده، رقمی که گمان می‌رود دست کم گرفته شود، به همراه دو دامنه مورد استفاده برای انجام مراحل دوم و سوم حمله شناسایی شدند. 20 دامنه اضافی در همان سرور نیز شناسایی شد. Jscrambler گزارش داد که 15 تا از سایت‌های در معرض خطر به این موضوع پرداخته‌اند.

بررسی‌های بیشتر نشان داد که اسکریپت‌های اسکیمر به صورت پویا تولید و برای هر وب‌سایت هدف‌گذاری شده طراحی شده‌اند، که نشان‌دهنده درجه بالایی از پیچیدگی و استقرار خودکار است. محققان از یک تکنیک brute-forcing استفاده کردند و هدر Referrer را دست‌کاری کردند تا قربانیان بیشتری را شناسایی کنند.

در یک نمونه، اسکیمر جعل یک فریم پرداخت مربعی است، در حالی که در برخی موارد دیگر، اسکیمر گزینه‌های پرداخت را تزریق می‌کند، مانند کیف پول‌های ارز دیجیتال، و به صورت پویا پنجره‌های اتصال متاماسک جعلی را وارد می‌کند. با این حال، آدرس‌های کیف پول مرتبط با این تلاش‌ها فعالیت‌های اخیر چندانی نشان ندادند.

در پست وبلاگ خود، محققان به بازرگانان هشدار داده‌اند که راه‌حل‌های نظارت بر صفحه وب را در زمان واقعی برای شناسایی تزریق‌های غیرمجاز اسکریپت پیاده‌سازی کنند، در حالی که ارائه‌دهندگان خدمات شخص ثالث (TPSPs) می‌توانند امنیت را با اتخاذ پیاده‌سازی iframe سخت‌شده برای جلوگیری از ربودن iframe و تغییرات فرم افزایش دهند.

منبع

hackread