‫ ilam_heydari بلاگ

یافته‌های جدید شرکت کسپراسکی نشان می‌دهد که یک کمپین بدافزار جدید QBot از مکاتبات تجاری ربوده شده برای نصب بدافزار در سیستم قربانیان استفاده می‌کند.

تروجان QBot، ایمیل های تجاری را برای انتشار بدافزار ربوده است در آخرین اقدام که از 4 آوریل 2023 آغاز شد، عمدتاً کاربران آلمان، آرژانتین، ایتالیا، الجزایر، اسپانیا، ایالات متحده، روسیه، فرانسه، بریتانیا و مراکش را هدف قرار دادند.

QBot (با نام مستعار Qakbot یا Pinkslipbot) یک تروجان بانکی است که از سال 2007 فعال است علاوه بر سرقت رمزهای عبور و کوکی ها از مرورگرهای وب، در حملات Cobalt Strike یا باج افزار تعداد بک دورها را برای دسترسی دو برابر می کند.

این بدافزار که از طریق کمپین‌های فیشینگ منتشر می‌شود در طول فعالیت خود شاهد به‌روزرسانی‌های مداومی بوده است که شامل تکنیک‌های ضد ماشین مجازی، ضد اشکال‌زدایی، و ضد sandbox برای فرار از شناسایی است همچنین به عنوان رایج‌ترین بدافزار برای ماه مارس 2023 شناخته شده است.

محققان کسپراسکی با توضیح روش‌های توزیع QBot می‌گویند: «اوایل، از طریق وب‌سایت‌های آلوده و نرم‌افزارهای غیرقانونی توزیع می‌شد اکنون از طریق بدافزارهای موجود در رایانه‌ها، مهندسی اجتماعی و ارسال‌های هرزنامه به قربانیان تحویل داده می‌شود.» حملات ربودن ایمیل جدید نیست و زمانی اتفاق می‌افتد که مجرمان سایبری خود را وارد مکالمات تجاری موجود می‌کنند یا مکالمات جدیدی را بر اساس اطلاعاتی که قبلاً توسط حساب‌های ایمیل در معرض خطر جمع‌آوری شده بود، آغاز می‌کنند.

هدف ترغیب قربانیان به باز کردن پیوندهای مخرب یا پیوست های مخرب است، در این مورد، یک فایل PDF  مخرب به عنوان هشدار Microsoft Office 365 یا Microsoft Azure ظاهر می شود باز کردن سند منجر به بازیابی یک فایل آرشیو از یک وب سایت آلوده می شود که به نوبه خود حاوی یک فایل اسکریپت ویندوز است. این اسکریپت به نوبه خود دارای یک اسکریپت PowerShell است که یک فایل DLL مخرب را از یک سرور راه دور دانلود می کند. DLL دانلود شده بدافزار QBot است.

این یافته‌ها زمانی به دست آمد که آزمایشگاه‌های امنیتی Elastic یک کمپین مهندسی اجتماعی چند مرحله‌ای را کشف کردند که از اسناد مایکروسافت ورد تشکیل شده که از یک بار کننده مبتنی بر NET برای توزیع Agent Tesla و XWorm استفاده می‌کند.

گوگل به‌روزرسانی اضطراری را برای رفع نقص روز صفر در مرورگر وب کروم خود منتشر کرد که این اولین باگ است که از ابتدای سال 2023 تا کنون برطرف شده است گوگل در وبلاگ Chrome Release توضیح داده است که یک آسیب‌پذیری خطرناک را در مرورگر کروم پیدا کرده و از آن با عنوان CVE-2023-2033 یاد می‌کند این آسیب‌پذیری ظاهراً از ابتدای سال جاری هدف حملات سایبری قرار گرفته است.

آسیب‌پذیری CVE-2023-2033 با خطر بالا معرفی شده و ظاهراً به موتور جاوااسکریپت V8 کروم مربوط است ولی گوگل اطلاعات بیشتری درباره آن منتشر نکرده و نگفته که چگونه از این باگ در حملات سایبری استفاده شده است. عنوان باگ روز صفر نشان می‌دهد که این آسیب‌پذیری همچنان وجود دارد؛ چرا که بسیاری از کاربران این آپدیت را نصب نکرده‌اند گوگل می‌گوید اگر کتابخانه‌های شخص ثالث هم دچار این باگ باشند و مشکل خود را برطرف نکنند، دسترسی آن‌ها را محدود خواهد کرد.

کلمنت لسیگن از گروه تحلیل تهدیدات گوگل (TAG) مسئول گزارش این مشکل در 11 آوریل 2023 است بر اساس پایگاه داده آسیب‌پذیری ملی (NVD)، این آسیب پذیری به یک مهاجم از راه دور اجازه می‌دهد تا بوسیله کدهای مخرب heap از طریق یک صفحه HTML دستکاری شده اقدام به خرابکاری کنند.

به‌روزرسانی 112.0.5615.121 که شامل این رفع باگ است، در کانال نسخه‌های پایدار دسکتاپ کروم منتشر شده ازاین‌رو، کاربران ویندوز، مک و لینوکس می‌توانند آن را نصب کنند برای بررسی به‌روزرسانی‌ها می‌توانید به منوی اصلی کروم بروید و از بخش Help روی گزینه About Google Chrome کلیک کنید.