‫ ilam_heydari بلاگ

هشدار مایکروسافت نسبت به کمپین فیشینگ ClickFix از طریق ایمیل‌های جعلی Booking[.]com

Ari Novick، محقق امنیتی در تحلیلی که اوایل این هفته منتشر شد گفت: "زنجیره حملات در سایتی به نام pesktop[.]com شروع می‌شود این سایت خود را به عنوان سایتی برای دریافت نرم‌افزارهای غیرقانونی معرفی می‌کند همچنین سعی می‌کند مردم را وادار به دانلود انواع بدافزارها کند.

فایل اجرایی اولیه به عنوان مجرای برای اجرای یک اسکریپت PowerShell عمل می‌کند که یک بدافزار بات نت به نام Amadey و همچنین دو باینری دات نت دیگر را ارائه می‌دهد که هر کدام برای معماری 32 و 64 بیتی کامپایل شده‌اند.

باینری، با نام رمز PackerE، مسئول دانلود یک DLL رمزگذاری شده است، که به نوبه خود، یک فایل DLL دوم را بارگیری می‌کند که بارگیری MassJacker را با تزریق آن به یک فرآیند قانونی ویندوز به نام "InstalUtil.exe" راه‌اندازی می‌کند.

بدافزار MassJacker Clipper

DLL رمزگذاری شده دارای ویژگی‌هایی است که توانایی فرار و ضد تجزیه و تحلیل آن را افزایش م‌دهد، از جمله اتصال Just-In-Time (JIT)، نگاشت توکن ابرداده برای پنهان کردن فراخوانی‌های عملکرد‌ و یک ماشین مجازی سفارشی برای تفسیر دستورات بر خلاف اجرای کد دات نت معمولی.

MassJacker، به نوبه خود، با بررسی‌های ضد اشکال‌زدایی خود و پیکربندی برای بازیابی همه الگوهای بیان منظم برای پرچم گذاری آدرس‌های کیف پول ارزهای دیجیتال در کلیپ بورد ارائه می‌شود. همچنین با یک سرور راه دور تماس می‌گیرد تا فایل‌های حاوی لیست کیف پول‌های تحت کنترل عامل تهدید را دانلود کند.

Novick گفت: "MassJacker یک کنترل کننده رویداد ایجاد می‌کند تا هر زمان که قربانی چیزی را کپی می‌کند اجرا شود" "کنترل کننده ریجکس‌ها را بررسی می‌کند و اگر مطابقت پیدا کند، محتوای کپی شده را با کیف پولی متعلق به عامل تهدید از لیست دانلود شده جایگزین می‌کند."

امنیت سایبری

CyberArk گفت که بیش از 778531 آدرس منحصر به فرد متعلق به مهاجمان را شناسایی کرده است که تنها 423 مورد از آنها حاوی وجوهی بالغ بر 95300 دلار است اما مجموع دارایی‌های دیجیتالی که در همه این کیف پول‌ها قبل از انتقال آنها نگهداری می‌شود، حدود 336700 دلار است.

علاوه بر این، ارز دیجیتالی به ارزش حدود 87000 دلار (600 SOL) در یک کیف پول جمع شده است و بیش از 350 تراکنش از آدرس‌های مختلف به کیف پول منتقل می‌شود.

دقیقاً چه کسی پشت MassJacker قرار دارد ناشناخته است اگرچه بررسی عمیق‌تر کد منبع همپوشانی‌هایی با بدافزار دیگری به نام MassLogger را شناسایی کرده است که همچنین از قلاب JIT برای مقاومت در برابر تلاش‌های تحلیلی استفاده کرده است.

5 تهدید اصلی که CISO‌ها را در شب سال 2025 بیدار نگه می‌دارد

CISO مدیر ارشد امنیت اطلاعات یا (Chief Information Security Officer)، مسئول ایجاد استراتژی امنیتی و محافظت از دارایی‌های داده سازمان است.

 

تهدیدات سایبری در سال 2025 نیازمند رویکردی پیشگیرانه و تطبیقی ​​است برای حفظ پیشرفت، CISO‌ها باید بین دفاع فنی، انتظارات نظارتی و عوامل انسانی تعادل ایجاد کنند با اولویت‌بندی امنیت مبتنی بر هوش مصنوعی، انعطاف‌پذیری باج‌افزار، مدیریت ریسک، کاهش تهدیدات داخلی و آمادگی انطباق، CISO می‌تواند وضعیت امنیتی خود را تقویت کند در اینجا پنج تهدید اصلی که CISO‌ها را در شب در سال 2025 بیدار نگه می‌دارد و آنچه که CISO‌ها می‌توانند در مورد آنها انجام دهند، آورده شده است

حملات سایبری مبتنی بر هوش مصنوعی

مهاجمان از هوش مصنوعی برای خودکارسازی فیشینگ، تولید کلاهبرداری‌های صوتی و دور زدن دفاع‌های امنیتی سنتی استفاده می‌کنند بدافزار مجهز به هوش مصنوعی می‌تواند در زمان حمله خود را تطبیق دهد و تشخیص را سخت‌تر از همیشه می‌کند.

راهکار CISO:

  • برای مبارزه با تهدیدات هوش مصنوعی روی ابزارهای امنیتی مبتنی بر هوش مصنوعی سرمایه گذاری کنید.
  • برای تشخیص ناهنجاری‌ها، تشخیص مبتنی بر رفتار را اجرا کنید.
  • کارکنان را در مورد خطرات حملات فیشینگ ایجاد شده توسط هوش مصنوعی آموزش دهید.

تکامل باج افزار: اخاذی دوگانه و سه گانه

باج‌افزار دیگر فقط رمزگذاری نیست بلکه مهاجمان اکنون از اخاذی دوگانه (رمزگذاری و افشای اطلاعات سرقت شده) و اخاذی سه‌گانه (هدف قرار دادن پرداخت‌های اضافی) استفاده می‌کنند حتی پرداخت باج نیز بهبودی و امنیت کامل را تضمین نمی‌کند.

راهکار CISO:

  • استراتژی‌های پشتیبان‌گیری و بازیابی را تقویت کنید.
  • بهبود مدیریت هویت و دسترسی (IAM) برای جلوگیری از سرقت اعتبار.
  • از بیمه سایبری استفاده کنید، اما با انتظارات سیاستی روشن.

حملات زنجیره تامین نرم افزار

مجرمان سایبری فروشندگان نرم‌افزار را هدف قرار می‌دهند تا کدهای مخرب را به برنامه‌های مورد اعتماد تزریق کنند یک ارائه دهنده شخص ثالث در معرض خطر می‌تواند صدها یا هزاران سازمان را افشاء کند.

راهکار CISO:

  • درخواست SBOM (صورتحساب مواد نرم افزاری) از فروشندگان.

جزئیات محصول را قبل از مونتاژ برای مرحله فروش تعریف می‌کند در یک SBOM، لیست محصولات نهایی و اجزای مورد نیاز برای توسعه آن به طور جداگانه در سند سفارش فروش ظاهر می‌شود.

  • اصول اعتماد صفر را در سراسر یکپارچه سازی زنجیره تامین بپذیرید.
  • دسترسی شخص ثالث و به‌ روزرسانی‌های نرم‌افزار را به طور مستمر نظارت کنید.

تهدیدهای خودی: از سهل انگاری تا قصد خرابکاری

همه تهدیدها از بیرون نمی‌آیند کارمندان، چه به صورت تصادفی روی پیوندهای فیشینگ کلیک کنند و چه عمداً داده‌ها را سرقت کنند، خطرات قابل توجهی دارند محیط های کاری ترکیبی ردیابی رفتار مشکوک را حتی سخت‌تر می‌کند.

راهکار CISO:

  • حداقل دسترسی به امتیازات و کنترل‌های دقیق داده را اجرا کنید.
  • از تجزیه‌و تحلیل رفتار کاربر (UBA) برای تشخیص ناهنجاری‌ها استفاده کنید.
  • از طریق آموزش مداوم، یک فرهنگ آگاه از مفهوم امنیت را تقویت کنید.

اضافه بار مقررات و انطباق

CISO با قوانینی مانند قوانین افشای امنیت سایبری SEC، GDPR و چارچوب‌های حاکمیت هوش مصنوعی را دست‌کاری می‌کند و در عین حال تضمین می‌کند که برنامه‌های امنیتی موثر باقی می‌مانند عدم رعایت می‌تواند به معنای جریمه‌های سنگین و آسیب به شهرت باشد.

راهکار CISO:

  • برای پیگیری تغییرات مقررات، از نزدیک با تیم‌های قانونی و انطباق همکاری کنید.
  • در صورت امکان گزارش انطباق را به صورت خودکار انجام دهید.
  • تحت مقررات جدید برای افشای امنیتی پیشگیرانه آماده شوید.

اعتبار‌سنجی امنیتی: استاندارد جدید برای انعطاف‌پذیری سایبری

اعتبار‌سنجی امنیتی زمانی به عنوان اقدامی اختیاری  “nice-to-have” در نظر گرفته می‌شد، اکنون اولویت اصلی رهبران امنیتی در سراسر جهان است و در چارچوب‌هایی مانند مدیریت مواجهه با تهدید مستمر گارتنر (CTEM) که در سال 2022 معرفی شد موجب تغییر شده است که بر نیاز به آزمایش مداوم و اعتبارسنجی کنترل‌های امنیتی تأکید دارد.

اما اعتبار‌سنجی امنیتی دقیقا چیست و چرا اینقدر حیاتی شده است؟ به عبارت ساده، این فرآیند "آزمایش نبرد" دفاع امنیتی شما است تا اطمینان حاصل شود که می‌توانید در برابر حملات دنیای واقعی مقاومت کنید. اعتبار‌سنجی امنیتی با تقلید از تهدیدها و تجزیه‌و تحلیل نحوه پاسخگویی سیستم‌های شما، بینش عملی را در مورد وضعیت امنیتی واقعی سازمان شما ارائه می‌دهد.

سه تست موفق استفاده از اعتبارسنجی امنیتی در سال 2025 برای تقویت انعطاف‌پذیری سایبری در زیر آمده است :

شماره 1 در برابر تهدیدات باج‌افزار

باج‌افزار یکی از فراگیرترین و مخرب‌ترین تهدیدهایی است که امروزه سازمان‌ها با آن مواجه هستند با پیش‌بینی خسارات بیش از 265 میلیارد دلار تا سال 2031، مدیران خواهان معیارهای واضحی در مورد آمادگی سازمان خود برای مبارزه با این حملات هستند.

به طور سنتی، عناصر زنجیره کشتن باج‌افزار - مانند فیلتر کردن ایمیل، تشخیص فیشینگ و امنیت نقطه پایانی - به‌صورت مجزا مورد آزمایش قرار می‌گرفتند با این حال این رویکرد پراکنده اغلب شکاف‌هایی را ایجاد می‌کند که مهاجمان می‌توانند از آنها سوء‌استفاده کنند اعتبار‌سنجی امنیتی سازمان‌ها را قادر می‌سازد تا دفاعیات را در کل زنجیره کشتن باج‌افزار از گروه‌هایی مانند LockBit، REvil، Maze و Conti آزمایش کنند.

اما نکته مهم اینجاست: رخنه‌ها اغلب به دلیل ناهنجاری‌ها رخ می‌دهند - یک فایروال با پیکربندی اشتباه، یک نقطه پایانی اصلاح نشده یا یک کاربر به دنبال ایمیل فیشینگ، اتوماسیون اعتبارسنجی امنیتی پوشش کامل را تضمین می‌کند هر نقطه پایانی را آزمایش می‌کند و آسیب‌پذیری‌هایی که می‌توانند به باج‌افزار اجازه ورود دهند را شناسایی می‌کند.

شماره 2 تهدیدهای اعتبار کاربر را تأیید می‌کند

بر اساس گزارش بررسی‌های نقض داده‌های 2024 Verizon (DBIR)، اعتبارنامه‌های در معرض خطر 31 درصد از نقض‌ها در دهه گذشته و 77 درصد از حملات برنامه‌های وب را تشکیل می‌دهند حمله استعماری Pipeline در سال 2021 یادآور آسیب‌هایی است که می‌تواند از اعتبارنامه‌های فاش شده ناشی شود - مهاجمان با استفاده از اعتبارنامه‌های موجود در وب تاریک به VPN شرکت دسترسی پیدا کردند.

اعتبار سنجی امنیتی آزمایش خطرات مربوط به اعتبار را آسان می‌کند سازمان‌ها می‌توانند با اسکن اعتبارنامه‌های افشاء شده، شبیه‌سازی حملات تایید اعتبار و شناسایی گذرواژه‌های ضعیف یا مجدد استفاده‌ شده شکاف‌های حیاتی در وضعیت تهدید هویت خود را قبل از سوء‌استفاده مهاجمان کشف کنند تقلید حمله در ذهنیت کاربر در معرض خطر به سازمان‌ها این امکان را می‌دهد که واقعاً خطر "شعاع انفجار" خود را درک کنند.

علاوه بر این، اعتبارسنجی امنیتی تضمین می‌کند که دفاع‌هایی مانند احراز هویت چند عاملی (MFA) و ورود به سیستم واحد (SSO) همانطور که در نظر گرفته شده است عمل می‌کنند به عنوان مثال، اگر یک مهاجم سعی کند از اعتبارنامه‌های سرقت شده استفاده کند، آیا سیستم MFA شما تلاش برای ورود به سیستم را مسدود می‌کند؟ اعتبا‌رسنجی امنیتی پاسخ‌ها را ارائه می‌دهد.

شماره 3 آسیب‌پذیری‌های اصلاح شده را تأیید می‌کند

وصله‌سازی سنگ بنای امنیت سایبری است اما نصب وصله‌ها به سادگی کافی نیست – باید از موثر بودن آن‌ها اطمینان حاصل کنید نقض Equifax یک داستان هشدار دهنده است: علیرغم اینکه یک وصله برای آسیب‌پذیری Apache Struts در دسترس است شرکت نتوانست آن را به درستی اعمال کند و منجر به افشای داده‌های حساس بیش از 147 میلیون اکانت شد.

اعتبار‌سنجی امنیتی با تأیید اینکه وصله‌ها نه تنها مستقر هستند بلکه مؤثر هستند وصله‌ها را به سطح بعدی می‌برد به عنوان مثال، پس از اصلاح یک آسیب‌پذیری حیاتی سازمان‌ها می‌توانند از ابزارهای اعتبارسنجی امنیتی استفاده کنند تا تأیید کنند که این وصله در 100٪ زیرساخت آنها اعمال شده است و هیچ شکافی باقی نمانده است.

این رویکرد به ویژه در محیط های پیچیده با هزاران نقطه پایانی ارزشمند است بدون اعتبارسنجی تیم‌ها ممکن است تصور کنند که یک وصله با موفقیت اجرا شده است اما بعداً متوجه می‌شوند که اینطور نبوده است اعتبار‌سنجی امنیتی این عدم قطعیت را از بین می‌برد و اطمینان حاصل می‌کند که تلاش‌های وصله شما نتایج مورد نظر را ارائه می‌دهد.

مسیر بهبود کارایی

یکی از مهمترین مزایای اعتبار سنجی امنیتی، توانایی آن در ارائه راهنمایی مبتنی بر شواهد برای اصلاح است به جای اتخاذ رویکرد «وصله کردن همه چیز»، تیم‌ها می‌توانند بر روی بحرانی‌ترین اصلاحات بر اساس ریسک واقعی بهره‌برداری و تأثیر سیستم تمرکز کنند.

به عنوان مثال، اگر یک تست اعتبار‌سنجی امنیتی نشان دهد که یک آسیب‌پذیری خاص به راحتی قابل بهره‌برداری است و می‌تواند منجر به یک حمله باج‌افزار شود تیم‌ها می‌توانند وصله آن آسیب‌پذیری را بر مسائل با اهمیت کمتر ترجیح دهند این دقت گلوگاه‌های اصلاح را کاهش می‌دهد و اقدام به موقع و هدف‌مند را امکان‌پذیر می‌کند.

اما اعتبار‌سنجی امنیتی فقط در مورد یافتن شکاف‌ها نیست، بلکه در مورد اثبات کارایی است دانستن اینکه دفاع شما می‌تواند تهدیدات دنیای واقعی را مدیریت کند، بسیار ارزشمندتر از این است که فرض کنیم این تهدیدها انجام خواهد شد.

چرا اعتبارسنجی امنیتی باید استاندارد جدید شما باشد

معیارهای امنیتی سنتی مانند تعداد آسیب‌پذیری‌های اصلاح‌شده یا درصد نقاط پایانی با نرم‌افزار آنتی‌ویروس تنها بخشی از ماجرا را بیان می‌کنند اعتبار‌سنجی امنیتی با اندازه‌گیری وضعیت شما بر اساس حملات شبیه‌سازی شده دیدگاه جدیدی را ارائه می‌دهد این تغییر از تبدیل مدیریت امنیتی واکنشی به وضعیت پیشگیرانه در چشم انداز تهدید امری ضروری است. با شبیه‌سازی ایمن حملات دنیای واقعی در محیط‌های زنده، اعتبارسنجی امنیتی تضمین می‌کند که کنترل‌های شما می‌توانند تهدیدها را قبل از وقوع آسیب شناسایی، مسدود کرده و به آنها پاسخ دهند.

رهبران گروه باج‌افزار 8 پایگاه دستگیر شدند

پلیس تایلند چهار فرد مظنون به اینکه رهبران گروه باج‌افزار 8Base بوده و حدود 16 میلیون دلار از بیش از 1000 قربانی که با باج‌افزار فوبوس هدف قرار داده‌اند، سرقت کرده‌اند را دستگیر کرده است.

افسران اداره تحقیقات جرایم سایبری به رهبری ژنرال ترایرونگ فیوفان، «عملیات PHOBOS AETOR» را در 10 فوریه در پوکت انجام دادند و چهار هکر خارجی را که در حملات باج‌افزاری دخیل بودند دستگیر کردند یک نشریه محلی گزارش داد که در این عملیات با هماهنگی پلیس مهاجرت و پلیس منطقه 8 به چهار مکان در سراسر پوکت یورش بردند.

پلیس دو مرد و دو زن را دستگیر و گوشی‌های موبایل، لپ‌تاپ و کیف‌های دیجیتال را کشف و ضبط کرد مظنونان پس از صدور حکم اینترپل و بنا به درخواست مقامات سوئیس و ایالات متحده دستگیر شدند که در همان روز محل نشت 8Base توسط اداره پلیس جنایی ایالت باواریا به نمایندگی از دفتر دادستان عمومی در بامبرگ، آلمان ضبط شد 27 سرور مرتبط با شبکه جنایی نیز حذف شدند.

به گفته یوروپل، چهار فرد دستگیر شده اتباع روسیه هستند که از رهبران گروه باج‌افزار 8Base بودند «این عملیات پیچیده بین‌المللی که توسط یوروپل و یوروجاست پشتیبانی می‌شود، سازمان‌های مجری قانون از 14 کشور را درگیر کرد یوروپل گفت، در حالی که برخی کشورها بر تحقیقات در مورد فوبوس تمرکز کردند برخی دیگر 8Base را هدف قرار دادند که چندین نفر در هر دو شرکت داشتند.

در نتیجه این عملیات، مجریان قانون همچنین توانستند به بیش از 400 شرکت در سراسر جهان در مورد حملات باج‌افزاری قریب‌الوقوع یا جاری هشدار دهند.»

فوبوس - اتصال 8 پایه
باج‌افزار فوبوس که برای اولین بار در دسامبر 2018 شناسایی شد به طور مکرر در حملات در مقیاس بزرگ علیه شرکت‌ها و سازمان‌های کوچک تا متوسط ​​در سراسر جهان استفاده شده است مدل Ransomware-as-a-Service (RaaS) آن را به ویژه برای طیف وسیعی از افراد مجرم، از افراد وابسته گرفته تا گروه‌های جنایی ساختار یافته مانند 8Base، قابل دسترسی کرده است یوروپل می‌گوید سازگاری این چارچوب به مهاجمان این امکان را می‌دهد تا کمپین‌های باج‌افزار خود را با حداقل تخصص فنی شخصی‌سازی کنند و به استفاده گسترده از آن دامن بزنند.

8Base با بهره‌گیری از زیرساخت‌های فوبوس، باج‌افزار خود را با استفاده از مکانیسم‌های رمزگذاری و تحویل آن برای تنظیم حملات برای حداکثر تأثیر توسعه داد این گروه در تاکتیک‌های اخاذی مضاعف خود بسیار تهاجمی بوده است نه تنها اطلاعات قربانیان را رمزگذاری می‌کند بلکه تهدید می‌کند که اطلاعات دزدیده شده را منتشر می‌کند مگر اینکه باج پرداخت شود.» گروه باج‌افزار 8Base در سال 2023 بسیار فعال بود و مانند فوبوس، فعالیت آن در سال 2024 کاهش یافت.

گمانه‌زنی‌هایی وجود دارد مبنی بر اینکه ممکن است دوره‌های عدم فعالیت 8Base به کاهش عملیات باج‌افزار فوبوس مرتبط باشد که نشان می‌دهد ممکن است شرکت‌های وابسته یا اپراتورهای مشترک بین این دو گروه وجود داشته باشد (اوجنی پتیسین، تبعه روس، مدیر مظنون فوبوس، در نوامبر 2024 در دادگاهی در ایالات متحده متهم شد.)

با این حال، گروه 8Base در دسامبر 2024 چندین قربانی گرفت از جمله شرکت عامل بندر کرواسی Luka Rijeka، شرکت کانادایی Mint Pharmaceuticals و شرکت سازنده ژاپنی Iseki Agricultural Machinery. وزارت دادگستری ایالات متحده مجموعه‌ای از اتهامات جنایی را علیه دو مظنون دستگیر شده افشاء کرده است: رومن برژنوی، 33 ساله، اتباع روسیه و اگور نیکولاویچ گلبوف، 39 ساله.

از ماه مه 2019، حداقل تا اکتبر 2024، Berezhnoy، Glebov و دیگران ظاهراً باعث شدند قربانیان متحمل خسارات ناشی از از دست دادن دسترسی به داده‌های آنها علاوه بر خسارات مالی مرتبط با پرداخت‌های باج‌افزار شوند وزارت دادگستری ایالات متحده ادعا می کند که قربانیان شامل؛ یک بیمارستان کودکان، ارائه دهندگان مراقبت های بهداشتی و موسسات آموزشی بودند.

طبق اسناد دادگاه، Berezhnoy، Glebov و دیگران یک سازمان وابسته به باج‌افزار، از جمله تحت نام‌های «8Base» و «Affiliate 2803» را اداره می‌کردند که از طریق استقرار باج‌افزار فوبوس، نهادهای دولتی و خصوصی را قربانی می‌کردند.»

کاربران macOS روسی زبان هدف Banshee Stealer

به گفته آنتونیس ترفوس، محقق Check Point، Banshee Stealer یک تهدید مخفی برای افزایش تعداد کاربران macOS در سراسر جهان، از جمله کاربران کشورهای روسی زبان است Banshee Stealer برای اولین بار در آگوست 2024 به صورت عمومی معرفی شد، یک ماه پس از آن که توسعه دهنده آن شروع به فروش آن به عنوان یک سرویس با قیمت بالای 3000 دلار در ماه کرد.
 

این بدافزار می‌تواند در هر دو معماری macOS x86_64 و ARM64 کار کند و می‌تواند اطلاعات کاربری و کوکی‌های ذخیره شده توسط مرورگرهای محبوب و افزونه‌های مرورگر برای کیف پول‌های ارزهای دیجیتال و احراز هویت دو مرحله‌ای و همچنین رمز عبور macOS کاربران را بگیرد تا بتواند اطلاعات حساس ذخیره شده در Keychain را بگیرد. در ابتدا، این بدافزار برای جلوگیری از آلوده کردن سیستم‌هایی که زبان روسی زبان اصلی است ساخته شده بود، اما به گفته ترفوس، یک نوع بدون بررسی زبان روسی هم اکنون برای قربانیان احتمالی ارائه می‌شود.

تکامل بدافزار و نشت کد منبع

از ژوئیه تا نوامبر، هکر Banshee یک سرویس را در تلگرام و در انجمن‌های وب تاریک مانند XSS و Exploit اجرا کرد و به بهبود بدافزار ادامه داد در طول این مدت، دو عضو را برای اجرای کمپین‌هایی با هدف قرار دادن کاربران macOS استخدام کرد اما پس از آن کد منبع بدافزار در اواخر نوامبر به صورت آنلاین به بیرون درز کرد و فرد یا گروهی که در پشت آن بودند، عملیات خود را تعطیل کردند.

قبل از آن، توسعه‌ دهنده با معرفی رمزگذاری رشته‌ای که توسط XProtect، موتور ضد بدافزار مبتنی بر امضای macOS که بدافزارها و انواع شناخته شده را شناسایی می‌کند، مخفی بودند و سرقت اطلاعات افزایش یافت و این ترفند برای بیش از دو ماه کار کرد - تا زمانی که به دلیل نشت کد منبع شناسایی توسط موتورهای آنتی ویروس بهتر شد «عاملین حمله این نسخه جدید را عمدتاً از طریق وب‌سایت‌های فیشینگ و مخازن مخرب GitHub توزیع کردند در برخی از کمپین‌های GitHub، عاملین حمله نه تنها کاربران ویندوز بلکه کاربران macOS را با Lumma و Banshee Stealer هدف قرار دادند.

اما حتی پس از افشای اطلاعات، تهدید همچنان ادامه دارد: Check Point کمپین‌های متعددی را شناسایی کرده است که هنوز بدافزار را از طریق وب‌سایت‌های فیشینگ توزیع می‌کنند و ظاهراً نرم‌افزار محبوب (Telegram، TradingView، Parallels و غیره) را برای دانلود ارائه می‌دهند.

سایت فیشینگ با هدف قرار دادن macOS (منبع: Check Point Research)

نحوه ورود قربانی به وب سایت فیشینگ در حال حاضر نامشخص است با این حال، کاربرانی که به دنبال دانلود ابزارهای کرک شده یا از منابع غیرقانونی هستند، هدف چنین حملاتی هستند ترفوس افزود: وب‌سایت‌های فیشینگ مشابهی یافت شده‌اند که فایل‌های .dmg را به‌روزرسانی می‌کنند.

مشخص نیست که آیا کمپین‌های باقی‌مانده از مشتریان قبلی نشات می‌گیرند یا خالق Banshee به‌طور مداوم کد منبع را به‌روزرسانی می‌کند و از بدافزار به عنوان بخشی از گروه خصوصی استخدام شده در XSS برای اجرای کمپین‌های macOS استفاده می‌کند.»

اما با فاش شدن کد منبع، ترس این است که سایر توسعه دهندگان بدافزار مبادا دزدی‌های جدید macOS را بر اساس Banshee قرار دهند با وجود بیش از 100 میلیون کاربر macOS، مجموعه اهداف بالقوه قابل توجه و مطمئناً فریبنده است.

جلوگیری از حمله باج افزار بعدی با کمک هوش مصنوعی

دکتر دارن ویلیامز، مدیر عامل BlackFog، در مورد اینکه چگونه آموزش کارکنان نقش مهمی در جلوگیری از حملات باج افزار ایفا می کند صحبت نمود. او اشاره داشت که خطای انسانی اغلب بزرگترین خطر امنیتی است و توضیح می‌دهد که چگونه ابزارهای هوش مصنوعی، در کنار گیمیفیکیشن و هشدارهای هم‌زمان، به کارمندان کمک می‌کنند تهدیدات فیشینگ پیشرفته را شناسایی کنند.

 

آموزش آگاهی کارکنان چه نقشی در جلوگیری از حملات باج افزار دارد؟ چه رویکردهای نوآورانه‌ای می‌تواند چنین آموزشی را مؤثرتر کند؟

در مورد کاهش تأثیر باج افزار در هر سازمانی، نباید آموزش آگاهی را دست کم گرفت ضعیف‌ترین حلقه در تجربه ما همیشه انسان است و پیچیدگی حملات فیشینگ با استفاده از هوش مصنوعی برای ایجاد حملات تاثیرگذار و هدفمند به روش جدیدی تبدیل شده است. اطمینان از اینکه کاربران در شناسایی این نوع تکنیک‌ها به خوبی آموزش دیده‌اند به عنوان اولین خط دفاعی و برای کاهش خطای انسانی حیاتی است بسیاری از چارچوب‌های نظارتی مانند SOC 2 و ISO 27000 در حال حاضر کارکنان را موظف می‌کنند تا آموزش‌های منظمی را برای کمک به پرورش فرهنگ امنیتی قوی در یک سازمان ایجاد کنند.

روش‌های نوآورانه برای جالب‌تر کردن این موضوع شامل اشکال گیمیفیکیشن (بازی سازی) مانند پازل و تست‌های دیگر است تا ببینند آیا می‌توان کاربران را فریب داد که اغلب کاملاً مؤثر هستند بسیاری از سیستم‌ها همچنین از آموزش با هشدارهای بی‌درنگ استفاده می‌کنند که به آنها درباره آخرین کلاهبرداری‌ها و تکنیک‌ها هشدار می‌دهد این تکنیک‌ها با هم می‌توانند آموزش را به طور کلی جذاب‌تر کنند و به احتمال زیاد به عنوان بخشی از فرهنگ شرکت پذیرفته شوند.

تاکتیک اخاذی سه گانه چقدر اهمیت دارد و سازمان‌ها از چه استراتژی‌هایی می‌توانند برای مقابله با این تکامل در حملات باج افزار استفاده کنند؟

اخاذی سه گانه نشان دهنده افزایش استراتژیک تکنیک‌های باج افزار سنتی است در ابتدا، مهاجمان باج افزار بر روی رمزگذاری داده‌ها برای درخواست پرداخت متمرکز شدند آنها سپس به سمت اخاذی مضاعف رفتند - تهدید به افشای اطلاعات حساس در صورت عدم برآورده شدن درخواست باج اکنون، با اخاذی سه گانه، مهاجمان نه تنها قربانی اولیه، بلکه مشتریان، شرکا، رگولاتورها و حتی سهام‌داران را نیز هدف قرار می‌دهند علاوه بر این، آنها اغلب از تکنیک‌های اضافی مانند حملات DDoS برای فلج کردن توانایی سازمان برای انجام تجارت استفاده می‌کنند.

برای مقابله با این حملات ایجاد یک استراتژی جامع همراه با آموزش، پشتیبان‌گیری و ابزارهای امنیت سایبری می‌تواند کافی باشد برای محافظت از نقطه ورودی معمولاً به فایروال و محصولات نوع EDR نیاز است برای محافظت از نقاط خروجی و توقف خروج داده‌ها به محصولات ضد خروج داده‌ها برای جلوگیری از اخاذی در وهله اول نیاز است.

چه فناوری‌های نوظهوری مانند هوش مصنوعی یا یادگیری ماشینی در پیشگیری از باج‌افزار مؤثر هستند؟

تنها راه مبارزه واقعی با حملات باج‌افزار مدرن، فناوری‌های مبتنی بر هوش مصنوعی است باج افزار در دو سال گذشته به سرعت تکامل یافته و موثرتر از قبل شده است و امسال با بیشترین تعداد حملات موفق در پنج سال گذشته، شاهد موفقیت بی نظیری بوده است فناوری‌های موجود نتوانسته‌اند تأثیری داشته باشند.

راه‌حل‌های جدیدتر مبتنی بر هوش مصنوعی و حملات مبتنی بر روز صفر، در برابر این حملات جدید که اغلب ترکیبی از انواع دیگر هستند بسیار مؤثر بوده‌اند با استفاده از هوش مصنوعی فروشندگان می‌توانند آسیب‌پذیری‌هایی را که حتی در زمان واقعی شناسایی نشده اند هدف قرار دهند چالش اینجاست که این فروشندگان نوظهور از سر و صدای بازار شلوغ امنیت سایبری عبور کنند تا توجه سازمان‌ها به این روش جلب شود.

اولین گام‌های حیاتی که سازمان‌ها باید پس از شناسایی حمله باج‌افزار بردارند چیست؟

اول از همه، مهار و شناسایی بسیار مهم است بنابراین می‌توان از گسترش باج افزار جلوگیری کرد استفاده از ضد استخراج داده‌ها باعث می‌شود که هیچ حرکت جانبی یا استخراج داده از دستگاه وجود نداشته باشد پس از این، تمام نسخه‌های پشتیبان موجود را تأیید کنید و اطمینان حاصل کنید که سازمان شما یک برنامه بازیابی اطلاعات برای همه سیستم‌های آسیب دیده دارد در مرحله بعد، مهم است که بدانید چه کسی تحت تأثیر قرار گرفته است و چه نوع داده‌ای در آن دخیل است، زیرا این امر گام مهم بعدی شما که ارتباط با مقامات داخلی و یا مشتریان است را تعیین می‌کند.

در اینجا تاکید می‌کنم که ارتباط و گزارش برای کمک به آژانس‌های مربوطه و کمک به کاهش حملات بیشتر شما و دیگران بسیار مهم است این کار تضمین می‌کند که هرگونه جریمه به ویژه برای شرکت‌های دولتی به حداقل می‌رسد پنهان کردن حمله یک رویکرد معتبر نیست و هرگز در درازمدت برای قربانیان خوب عمل نمی‌کند در نهایت، اگر منابع داخلی کافی برای کاهش حمله ندارید متخصصان را برای ارزیابی و بازیابی درگیر کنید این فرآیند ارزان نخواهد بود، اما ممکن است اطمینان حاصل کند که شما همچنان می توانید کسب و کار خود را با حداقل زمان خرابی اداره کنید.

ارائه دهندگان خدمات مدیریت شده (MSP) به دلیل دسترسی پایین دست خود اغلب مورد حمله قرار می‌گیرند چه توصیه‌هایی به MSP‌ها برای تقویت سیستم دفاعی خود می‌توان ارائه داد؟

پیشنهاد می‌کنم که هر MSP که با آن درگیر هستید دارای گواهینامه رسمی مانند گواهینامه SOC 2 یا ISO باشد این گواهینامه‌ها بسیار طاقت فرسا هستند و شامل ممیزی مستقل از سیاست‌ها و رویه‌های امنیتی برای اطمینان از اینکه سیستم‌ها بر اساس بهترین شیوه‌ها ایمن هستند می‌باشد اگر یک MSP نتواند کنترل‌ها و تعادل‌های کافی را نشان دهد، در این صورت احتمالاً از عمق آنها خارج است و نباید به عنوان حافظ نقاط پایانی و داده‌های سازمان شما به آنها اعتماد کرد. 

8 میلیون کاربر اندروید توسط بدافزار SpyLoan مورد ضربه قرار گرفتند

بر اساس یافته‌های جدید آزمایشگاه مک‌‌آفی، بیش از دوازده برنامه اندرویدی مخرب شناسایی شده در فروشگاه Google Play که مجموعاً بیش از 8 میلیون بار دانلود شده‌اند، حاوی بدافزاری هستند که به نام SpyLoan شناخته می‌شوند.

فرناندو روئیز، محقق امنیتی، در تحلیلی که در گذشته منتشر شد، گفت: «برنامه‌های PUP (توسط کاربر و یا برنامه‌ای دیگر بر روی دستگاه قربانی نصب شده و تنظیمات سیستم را تغییر می‌دهد.) از تاکتیک‌های مهندسی اجتماعی برای فریب کاربران برای ارائه اطلاعات حساس و اعطای مجوزهای اضافی برنامه تلفن همراه استفاده می‌کنند که می‌تواند منجر به اخاذی، آزار و اذیت و ضرر مالی شود»

15 برنامه مخرب تحت عنوان وام در زیر لیست شده است گفته می‌شود که پنج مورد از این برنامه‌ها که هنوز برای دانلود از فروشگاه رسمی برنامه موجود هستند، تغییراتی را برای مطابقت با خط‌مشی‌های Google Play اعمال کرده‌اند بر اساس یافته‌های جدید آزمایشگاه مک‌آفی، بیش از دوازده برنامه اندرویدی مخرب شناسایی شده در فروشگاه Google Play که مجموعاً بیش از 8 میلیون بار دانلود شده‌اند، حاوی بدافزاری هستند که به نام SpyLoan شناخته می‌شوند.

Préstamo Seguro-Rápido, seguro (com.prestamoseguro.ss)
Préstamo Rápido-Credit Easy (com.voscp.rapido)
ได้บาทง่ายๆ-สินเชื่อด่วน (com.uang.belanja)
RupiahKilat-Dana cair (com.rupiahkilat.best)
ยืมอย่างมีความสุข – เงินกู้ (com.gotoloan.cash)
เงินมีความสุข – สินเชื่อด่วน (com.hm.happy.money)
KreditKu-Uang Online (com.kreditku.kuindo)
Dana Kilat-Pinjaman kecil (com.winner.rupiahcl)
Cash Loan-Vay tiền (com.vay.cashloan.cash)
RapidFinance (com.restrict.bright.cowboy)
PrêtPourVous (com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret)
Huayna Money – Préstamo Rápido (com.huaynamoney.prestamos.creditos.peru.loan.credit)
IPréstamos: Rápido Crédito (com.credito.iprestamos.dinero.en.linea.chile)
ConseguirSol-Dinero Rápido (com.conseguir.sol.pe)
ÉcoPrêt Prêt En Ligne (com.pret.loan.ligne.personnel)

برخی از این برنامه‌ها از طریق پست‌هایی در پلتفرم‌های رسانه‌های اجتماعی مانند فیس‌بوک تبلیغ شده‌اند که نشان‌دهنده روش‌های مختلفی است که مجرمین برای فریب قربانیان برای نصب آنها استفاده می‌کنند SpyLoan یک جرم پرتکرار است که به سال 2020 باز می‌گردد، با گزارشی از ESET در دسامبر 2023، مجموعه دیگری متشکل از 18 برنامه را فاش کرد که با ارائه وام‌های با نرخ بهره بالا به کاربران قصد کلاهبرداری داشتند و در عین حال مخفیانه اطلاعات شخصی و مالی آنها را نیز جمع‌آوری می‌کردند.

هدف نهایی طرح مالی جمع‌آوری هرچه بیشتر اطلاعات از دستگاه‌های آلوده است که می‌تواند برای اخاذی از کاربران با وادار کردن آنها به بازپرداخت وام با نرخ‌های بهره بالاتر و در برخی موارد برای تأخیر در پرداخت‌ها استفاده شود. رویز گفت: "در نهایت، به جای ارائه کمک‌های مالی واقعی، این برنامه‌ها می‌توانند کاربران را به چرخه‌ای از بدهی‌ها و نقض حریم خصوصی سوق دهند."

علی‌رغم تفاوت‌هایی که در هدف‌گیری وجود دارد، مشخص شده است که برنامه‌ها چارچوب مشترکی برای رمزگذاری و استخراج داده‌ها از دستگاه قربانی به سرور فرمان و کنترل (C2) دارند آنها همچنین یک تجربه کاربری مشابه و فرآیند ورود به سیستم را برای درخواست وام دنبال می‌کنند علاوه بر این، برنامه‌ها برای تعدادی مجوز دسترسی درخواست می‌کنند که به آن‌ها اجازه می‌دهد اطلاعات سیستم، دوربین، گزارش تماس‌ها، لیست‌های تماس، مکان درشت و پیام‌های SMS را جمع‌آوری کنند جمع‌آوری داده‌ها با این ادعا که به عنوان بخشی از شناسایی کاربر و اقدامات ضد تقلب مورد نیاز است، توجیه می‌شود.

کاربرانی که برای این سرویس ثبت نام می کنند از طریق یک رمز عبور یکبار مصرف (OTP) اعتبارسنجی می‌شوند تا اطمینان حاصل شود که شماره تلفنی از منطقه مورد نظر دارند. همچنین از آن‌ها خواسته می‌شود مدارک شناسایی تکمیلی، حساب‌های بانکی و اطلاعات کارمندان را ارائه کنند که همه آنها متعاقباً با استفاده از AES-128 به سرور C2 در قالب رمزگذاری‌شده استخراج می‌شوند.

برای کاهش خطرات ناشی از چنین برنامه‌هایی، بررسی مجوزهای برنامه، بررسی دقیق برنامه‌ها و تأیید اعتبار توسعه‌دهنده برنامه قبل از دانلود آنها ضروری است. رویز گفت: "تهدید برنامه‌های اندروید مانند SpyLoan یک مسئله جهانی است که از اعتماد و ناامیدی مالی کاربران سوء‌استفاده می‌کند." با وجود اقدامات مجری قانون برای دستگیری چندین گروه مرتبط با عملکرد برنامه‌های SpyLoan، اپراتورهای جدید و مجرمان سایبری همچنان از این فعالیت‌های کلاهبرداری سوء‌استفاده می‌کنند.

"برنامه‌های SpyLoan با کدهای مشابه در سطح برنامه و C2 در سراسر قاره‌های مختلف کار می‌کنند این نشان دهنده وجود یک توسعه دهنده مشترک یا یک چارچوب مشترک است که به مجرمان سایبری فروخته می‌شود. این رویکرد ماژولار به این توسعه دهندگان اجازه می‌دهد تا به سرعت برنامه‌های مخرب متناسب با بازارهای مختلف را با استفاده از آسیب‌پذیری‌های محلی و در عین حال حفظ یک مدل ثابت برای کاربران کلاهبردار توزیع کنند."

خطرات امنیتی QR کد و راه‌های مقابله با آن

رمزهای QR به عنوان ابزار‌هایی نوآورانه و مفید در عرصه تکنولوژی شناخته می‌شوند که توانسته‌اند در شرایط مختلف، از تبلیغات گرفته تا سهولت در خدمات خرید و فراتر از آن، کاربرد فراوانی داشته باشند اما با این حال نباید از خطرات امنیتی که ممکن است به همراه داشته باشند، غافل شد افزایش آگاهی کاربران و استفاده از راهکار‌های امنیتی، کلید محافظت از داده‌های شخصی در برابر تهدیدات احتمالی است.

1. فیشینگ: یکی از شایع‌ترین خطرات استفاده از رمزهای QR فیشینگ است مجرمان می‌توانند بارکد‌ها را به گونه‌ای طراحی کنند که کاربران را به وب‌سایت‌های جعلی هدایت کند تا اطلاعات شخصی و مالی قربانیان را سرقت کنند.

2. نرم‌افزار‌های مخرب: رمزهای QR می‌توانند حاوی لینک‌هایی باشند که به دانلود نرم‌افزار‌های مخرب منجر شود این نرم‌افزار‌ها می‌توانند به دستگاه‌های کاربران آسیب رسانده و اطلاعات محرمانه آنها را به سرقت ببرند. به عنوان مثال، یک هکر ممکن است از یک رمز QR برای برقراری خودکار تماس تلفنی یا ارسال پیام متنی از دستگاهی که کد را اسکن کرده استفاده کند. در صورت دسترسی به تلفن‌همراه قربانی، هکر‌ها حتی می‌توانند از این رمز برای شروع یک تراکنش پرداخت از دستگاه کاربر استفاده کنند یا دستگاه را مجبور کنند به یک شبکه Wi-Fi خاص متصل شود.

3. دستکاری ترافیک: مجرمان می‌توانند رمزهای QR‌ را به گونه‌ای طراحی کنند که ترافیک کاربران را به سمت سرور‌های خاصی هدایت کنند که توسط آنها کنترل می‌شود این امر می‌تواند به سوء‌استفاده از داده‌ها و حملات Man-in-the-Middle منجر می‌شود.

راهکار‌های مقابله با خطرات امنیتی رمزهای QR کد

1. استفاده از نرم‌افزار‌های امنیتی مناسب: نصب برنامه‌های امنیتیِ قابل اعتماد بر روی دستگاه‌ها می‌تواند به شناسایی و مسدود کردن لینک‌های مخرب و جاسوس‌افزار‌ها کمک کند.

2. آگاهی و دقت در اسکن کردن QR کدها: کاربران باید هنگام اسکن کردن رمزهای QR به منبع آن دقت کنند و از اسکن رمزهایی که از منابع نامعتبر هستند خودداری کنند.

3. بررسی لینک‌ها پیش از باز کردن: پیش از انتقال به لینک‌هایی که توسط رمزهای QR ارائه می‌شوند، کاربران باید آدرس‌ها را بررسی و از اصالت و امنیت آنها اطمینان حاصل کنند.

4. استفاده از برنامه‌های اسکنر معتبر: کاربران باید از برنامه‌های اسکنر QR که توسط شرکت‌های معتبر ارائه می‌شوند استفاده کنند، زیرا این برنامه‌ها معمولاً دارای ویژگی‌های امنیتی بیشتری هستند.

ارسال ایمیل‌های فیشینگ در پوشش اطلاعیه‌های قانونی شرکت‌های معتبر

مجرمان سایبری با استفاده از نوع جدیدی از Rhadamanthys Stealer به نام CopyRh(ight)adamantys که افراد و سازمان‌ها را در سراسر جهان هدف قرار می‌دهد و به دروغ آنها را به نقض حق نسخه‌برداری متهم می‌کند، یک حمله فیشینگ در مقیاس بزرگ انجام داده‌اند.

مهاجمان از طریق حساب‌های جی‌میل جعل هویت شرکت‌های قانونی، ارسال ایمیل‌هایی که قربانیان را فریب می‌دهند تا روی پیوندهای مخرب کلیک کنند، بدافزار را دانلود کنند و اطلاعات حساسی مانند اعتبارنامه ورود و داده‌های مالی را به سرقت ببرند این عملیات که احتمالاً توسط یک گروه جرایم سایبری با انگیزه مالی انجام شده است، پیچیدگی روزافزون حملات فیشینگ و اهمیت آگاهی از امنیت سایبری را برجسته می‌کند.

ایمیل‌های فیشینگ که در پوشش اطلاعیه‌های قانونی شرکت‌های معتبر ارسال می‌شوند، برای فریب قربانیان برای دانلود یک محموله مخرب ارسال می‌شود، که به دروغ گیرندگان را به نقض حق چاپ متهم می‌کند و آنها را به دانلود فایلی هدایت می‌کند که پس از اجرا، بدافزار Rhadamanthys را نصب می‌کند.

این بدافزار پیچیده می‌تواند اطلاعات حساس را از سیستم‌های در معرض خطر سرقت کند، که منجر به نقض قابل توجه داده‌ها و ضررهای مالی می‌شود بدافزار Stealer علیرغم اینکه به دروغ از هوش مصنوعی مدرن استفاده می‌کند، در واقع از تکنیک‌های قدیمی‌تر یادگیری ماشینی برای تشخیص کاراکترهای نوری (OCR) استفاده می‌کند.

مهاجمان از ابزارهای مبتنی بر هوش مصنوعی برای خودکارسازی کمپین‌های فیشینگ، تولید ایمیل‌های هدفمند و ایجاد حساب‌های جیمیل متعدد استفاده می‌کنند که امکان حملات در مقیاس بزرگ را فراهم می‌کند با این حال، نادرستی‌های گاه به گاه در بومی‌سازی زبان، محدودیت‌های ابزارهای هوش مصنوعی مورد استفاده را برجسته می‌کند.

محققان امنیت سایبری در Checkpoint یک کمپین فیشینگ گسترده را کشف کردند که Rhadamanthys نام داشت و صنایع مختلف، به ویژه سرگرمی، رسانه، فناوری و نرم افزار را هدف قرار می‌داد مهاجمان جعل هویت شرکت‌های قانونی، از جمله خود Check Point و تعداد زیادی ایمیل فیشینگ هدفمند برای افراد و سازمان‌ها در سراسر جهان ارسال کردند.

این امر پیچیدگی روزافزون تهدیدات سایبری و نیاز به اقدامات امنیتی سایبری قوی برای محافظت در برابر چنین حملاتی را برجسته می‌کند تحلیل‌های انجام شده اخیر نشان می‌دهد که کمپین CopyRh(ight)adamantys که قبلاً مهاجمان جعل هویت شرکت‌های قانونی بودند، احتمالاً کار یک گروه جرایم سایبری است و بر اساس هدف‌گیری گسترده این کمپین از سازمان‌های مختلف استفاده می‌کند.

کمپین‌های فیشینگ در مقیاس بزرگ اخیر از موضوع نقض حق نسخه‌برداری برای توزیع اطلاعات Rhadamanthys استفاده می‌کنند، که از اعتبار موضوع برای فریب قربانیان سوء‌استفاده می‌کند روش‌های پیچیده مورد استفاده در این حملات پیچیدگی فزاینده تهدیدات فیشینگ را برجسته می‌کند اجرای حفاظت درون خطی جامع در برابر ایمیل‌های مخرب برای کسب‌و کارها برای محافظت در برابر چنین حملاتی و حفظ امنیت عملیاتی بسیار مهم است.

بایگانی

همیاران سایبری – تمام حقوق محفوظ است