‫ khozestan_salamat بلاگ

مجرمان سایبری ادعا می کنند که اشنایدر الکتریک از پرداخت باج به صورت باگت خودداری کرده است.

در ماه نوامبر، یک باج افزار باج افزار به نام Hellcat ادعا کرد که زیرساخت اشنایدر الکتریک را نقض کرده است. این گروه گفت که به محیط Atlassian Jira این شرکت دسترسی پیدا کرده و به آنها امکان سرقت داده‌ها را می دهد.

این شرکت تایید کرد که پلتفرم توسعه‌دهنده‌اش نقض شده است و تیم واکنش آن در حال بررسی این حادثه است.

مجرمان سایبری برای اولین بار در تاریخ 7 نوامبر باج 125000 دلاری باگت را ارسال کردند. بازیگر تهدید گفت که اگر مدیر عامل شرکت علناً نقض را تأیید کند، تقاضای باج 50 درصد کاهش می یابد.

با این حال، در 29 دسامبر، مجرمان سایبری اطلاعات سرقت شده را در سایت نشت داده های خود منتشر کردند و ادعا کردند که این شرکت از پرداخت باج امتناع کرده است. پست در وب تاریک فقط از یک فایل غول پیکر (40 گیگابایت) تشکیل شده است که گفته می شود حاوی داده های شرکت در مورد پروژه ها، مسائل، افزونه ها و بیش از 400000 ردیف از داده های کاربر است.

سایبرنیوز برای اظهار نظر با اشنایدر الکتریک تماس گرفته است، اما هنوز پاسخی دریافت نشده است.

باند Hellcat قبلاً اطلاعاتی را به بیرون درز داده است که ادعا می شود متعلق به وزارت آموزش اردن، دانشکده تجارت در تانزانیا و ارتباطات خصوصی از برنامه Pinger است.

حادثه کنونی سومین حمله سایبری مهم اشنایدر الکتریک در 18 ماه گذشته است. در فوریه 2024، باج افزار باج افزار کاکتوس مسئولیت سرقت 1.5 ترابایت اطلاعات حساس از این شرکت را بر عهده گرفت.

سال گذشته، اشنایدر الکتریک اذعان کرد که توسط گروه باج افزار Cl0p در طول کمپین MOVEit zero-day مورد هدف قرار گرفته است.

حملات باج افزارها در حال افزایش است و باعث ایجاد سردردهای عظیم در شرکت ها و سازمان ها می شود. بر اساس گزارش‌ها، متوسط ​​تقاضای باج به 1.3 میلیون دلار افزایش یافته است و انواع خاصی تا 4.3 میلیون دلار برای یک کلید رمزگشایی درخواست می‌کنند.

اگرچه برای جلوگیری از تحریک اقتصاد جنایی به شدت توصیه می‌شود که درخواست‌های باج‌افزاری را پرداخت نکنید، میانگین ضرر مالی پس از مذاکرات همچنان به 353000 دلار می‌رسد.

رئیس پلیس فتا استان خوزستان از دستگیری مزاحم اینترنتی در فضای سایبری، خبر داد.
 

 پایگاه اطلاع رسانی پلیس فتا: سرهنگ کارآگاه علی حسینی در تشریح این خبر بیان داشت: با مراجعه یکی از شهروندان خانم به پلیس فتا شهرستان دزفول، وی مدعی شد شخصی در یکی از شبکه اجتماعی، اقدام به انتشار مطالب توهین آمیز و مستهجن علیه وی نموده و باعث خدشه وارد کردن به آبرو او شده است. به همین دلیل موضوع در دستور کار این پلیس قرار گرفت.

وی افزود: کارشناسان پلیس فتا با انجام اقدامات فنی و اطلاعاتی، موفق به شناسایی متهمه شده و ضمن هماهنگی با مقام قضایی، او را دستگیر کردند. 

این مقام انتظامی ادامه داد: متهمه که از نزدیکان شاکیه بوده، پس از مشاهده مستندات و ادله دیجیتال جمع‌آوری شده، به بزه ارتکابی اعتراف و هدف خود را از بین بردن آبروی قربانی می‌دانست. در نتیجه به همراه پرونده تکمیلی به دادسرا معرفی شد.

سرهنگ حسینی ضمن هشدار به مجرمان سایبری یادآور شد: انتشار تصاویر خصوصی و هتک حیثیت در فضای مجازی جزء مصادیق مجرمانه بوده و با خاطیان در این‌گونه جرائم برابر قانون به‌ شدت برخورد می‌شود.

رئیس پلیس فتا استان خوزستان در پایان خاطرنشان کرد: شهروندان عزیز توجه داتشه باشند تصاویر شخصی و خانوادگی خود را حدالامکان در فضای مجازی به اشتراک نگذارند.

Finastra در حال بررسی یک سرقت اطلاعات در مقیاس بزرگ است که ظاهراً 400 گیگابایت از اسناد داخلی آن را به خطر انداخته است. از آن زمان این داده‌ها در یک انجمن هکرها منتشر شده است.

شرکت فین‌تک مستقر در لندن، Finastra، مشتریان خود را از نقض داده‌ها مطلع کرده است که منجر به فروش 400 گیگابایت مشتری خصوصی و داده‌های شرکت در یک انجمن مجرمان سایبری شده است.

این رخنه اولین بار توسط روزنامه نگار امنیت سایبری برایان کربز فاش شد که یک نسخه از افشای رویداد امنیتی شرکت در 8 نوامبر 2024 به دست آورد.

Finastra به حدود 8100 موسسه مالی در سراسر جهان خدمات ارائه می‌دهد، از جمله عملیات روزانه Finastra عمدتاً شامل رسیدگی به پرونده‌های دیجیتال با دستورالعمل‌های انتقال سیم و بانک برای مشتریان خود است. سال گذشته، این شرکت 1.9 میلیارد دلار درآمد داشت.

طبق اخطار نقض، در 7 نوامبر، تیم امنیتی این شرکت فعالیت مشکوکی را در "پلت فرم انتقال فایل با میزبانی داخلی" Finastra شناسایی کرد. پروتکل انتقال امن فایل (SFTP) روشی است که به طور گسترده توسط سازمان‌ها برای انتقال ایمن فایل‌ها و مجموعه داده‌های بزرگ از طریق اینترنت استفاده می‌شود.

Finastra در این افشاگری می‌گوید: «در 8 نوامبر، یک عامل تهدید در وب تاریک ارتباط برقرار کرد و ادعا کرد که داده‌هایی از این پلتفرم استخراج شده است. این شرکت ادعا کرد که "هیچ تاثیر مستقیمی" بر عملیات مشتری و سیستم مشتریان وجود ندارد.

در اطلاعیه شرکت آمده است: «بازیگر تهدید بدافزار را مستقر نکرده یا هیچ فایل مشتری را در محیط دستکاری نکرده است. "علاوه بر این، هیچ پرونده‌ای به جز فایل‌های استخراج شده مشاهده یا دسترسی نبود."

Finastra در بیانیه‌ای به Krebs توضیح داد که SFTP آسیب دیده توسط همه مشتریان استفاده نمی‌شود و پلت فرم پیش فرض برای تبادل فایل‌های داده مربوط به طیف گسترده محصولات آن نیست.

اسکرین شات‌های جمع‌آوری شده توسط پلتفرم اطلاعات سایبری Ke-la.com نشان می‌دهد که مهاجمان در ابتدا تلاش کردند تا داده‌هایی را که گفته می‌شود از Finastra به سرقت رفته بود، در 31 اکتبر بفروشند.

به گفته کربس، پست‌های انجمن نشان می‌دهد که عامل تهدید ممکن است حداقل یک هفته قبل از اینکه شرکت اعلام کند برای اولین بار فعالیت مشکوکی را شناسایی کرده است، به سیستم اشتراک‌گذاری فایل Finastra دسترسی پیدا کرده است.

بنیاد Shadowserver گزارش می‌دهد که بیش از 2000 فایروال شبکه Palo Alto از طریق دو آسیب‌پذیری روز صفر هک شده‌اند. 
 

محققان امنیت سایبری در Shadowserver فاش کردند که تقریباً 2000 فایروال شبکه پالو آلتو در معرض خطر قرار گرفته است. این نقض‌ها دو آسیب‌پذیری روز صفر را در نرم‌افزار PAN-OS این شرکت شناسایی کرده‌اند. این آسیب‌پذیری‌ها با نام‌های CVE-2024-0012 و CVE-2024-9474 برچسب‌گذاری شده‌اند.

آسیب‌پذیری‌ها
CVE-2024-0012: این آسیب‌پذیری یک دور زدن احراز هویت در رابط وب مدیریت PAN-OS است. این به مهاجمان راه دور اجازه می‌دهد تا بدون احراز هویت، امتیازات مدیر را به دست آورند. این بدان معنی است که مهاجمان می‌توانند تنظیمات دیوار آتش را دستکاری کنند و آنها را در معرض سوء‌استفاده بیشتر قرار دهند.

CVE-2024-9474: این نقص یک مسئله تشدید امتیاز است. پس از سوء‌استفاده، به مهاجمان اجازه می‌دهد تا دستورات را با امتیازات ریشه اجرا کنند و به آنها کنترل کامل بر فایروال در معرض خطر را می‌دهد.

عملیات قمری پیک - فعالیت تهدید مداوم
شبکه‌های پالو آلتو، بهره‌برداری اولیه از این آسیب‌پذیری‌ها را «عملیات Lunar Peek» نامگذاری کرده است. Palo Alto Networks ابتدا در 8 نوامبر به مشتریان در مورد محدودیت دسترسی به فایروال‌های نسل بعدی خود به دلیل نقص نامشخص اجرای کد از راه دور هشدار داد.

از آن زمان، این شرکت پس از انتشار عمومی بینش‌های فنی توسط محققان شخص ثالث در 19 نوامبر 2024، افزایش قابل توجهی در فعالیت تهدید مشاهده کرده است.

واحد 42، تیم اطلاعاتی تهدید شبکه‌های پالو آلتو، با اطمینان متوسط ​​تا بالا ارزیابی می‌کند که یک زنجیره بهره‌برداری عملکردی CVE-2024-0012 و CVE-2024-9474 در دسترس عموم است، که می‌تواند منجر به فعالیت تهدید گسترده‌تر شود.

این شرکت در حال حاضر در حال بررسی حملات جاری است که شامل زنجیره‌سازی این دو آسیب‌پذیری برای هدف قرار دادن تعداد محدودی از رابط‌های وب مدیریت دستگاه است. این شرکت مشاهده کرده است که عوامل تهدید بدافزار را حذف می‌کنند و دستوراتی را روی فایروال‌های آسیب‌ دیده اجرا می‌کنند، که نشان می‌دهد احتمالاً یک سوءاستفاده زنجیره‌ای در حال حاضر در حال استفاده است.

توصیه هایی برای کاربران
Palo Alto Networks چندین توصیه برای کاهش خطر ارائه کرده است:

نظارت و بررسی: کاربران باید هرگونه فعالیت مشکوک یا غیرعادی در دستگاه‌های دارای رابط وب مدیریتی را که در معرض اینترنت قرار دارند نظارت کنند. پس از اعمال وصله، بررسی تنظیمات فایروال و گزارش‌های حسابرسی برای هر گونه نشانه‌ای از فعالیت غیرمجاز سرپرست بسیار مهم است.

وصله فوری: به مشتریان توصیه می‌شود سیستم‌های خود را برای دریافت آخرین وصله‌هایی که CVE-2024-0012 و CVE-2024-9474 را اصلاح می‌کنند، به روز کنند. اطلاعات دقیق درباره محصولات و نسخه‌های آسیب‌ دیده را می‌توانید در مشاوره‌های امنیتی Palo Alto Networks بیابید.

محدود کردن دسترسی: برای کاهش خطر، Palo Alto Networks توصیه می‌کند که دسترسی به رابط وب مدیریت را فقط به آدرس‌های IP داخلی قابل اعتماد محدود کنید. این مطابق با دستورالعمل‌های استقرار بهترین عملکرد توصیه شده آنها است.

بینش تخصصی
الاد لوز، رئیس تحقیقات Oasis Security، بر اهمیت اقدام فوری حتی قبل از پچ کردن تاکید می‌کند. او به مشتریان آسیب دیده توصیه می‌کند که دسترسی به رابط مدیریت وب را محدود کنند و ترجیحاً فقط IP‌های داخلی را مجاز کنند. Luz همچنین بر لزوم اطمینان از اینکه دستگاه‌ها پس از وصله‌سازی از هرگونه بدافزار یا پیکربندی مخرب بالقوه عاری هستند، تأکید می‌کند.

یک پلتفرم هدایای تبلیغاتی محبوب، gs-jj.com، 300000 ایمیل از مشتریان را برای ماه‌ها در معرض نمایش گذاشت. این نشت به احتمال شکست‌های امنیتی عملیاتی اشاره دارد، زیرا به نظر می‌رسد این شرکت از چین فعالیت می‌کند و 2500 ایمیل ارسال شده از دامنه‌های .mil و .gov را ارائه کرده است.

در 10 ژوئیه 2024، تیم تحقیقاتی Cybernews یک نمونه باز Elasticsearch متعلق به EnamelPins Inc را کشف کرد. این شرکت پشت سرویس gs-jj.com، لوازم جانبی نمادین، مانند وصله‌ها، سنجاق‌های برگردان، نشان‌ها، مدال‌ها و موارد دیگر را طراحی و تولید می‌کند.

Elasticsearch یک موتور جستجو و تجزیه و تحلیل قدرتمند برای تجزیه‌ و تحلیل سریع مقادیر زیادی از داده‌ها است.

نمونه EnamelPins حاوی بیش از 300000 ایمیل خصوصی بود که بین شرکت و مشتریانش ارسال شده بود. برخی از ایمیل‌ها حاوی نام کامل، سایر اطلاعات شخصی خصوصی و اسناد طراحی محصول بودند. کاربران در معرض خطر نیز در معرض هدف قرار گرفتن در کمپین‌های spearphishing یا سایر فعالیت‌های مخرب قرار می‌گیرند.

در میان ایمیل‌های فاش شده، حدود 2500 ایمیل از دامنه‌های ایمیل .mil و .gov متعلق به افسران مختلف ارتش ایالات متحده و مقامات دولتی بود. اینها بیشتر سفارش محصولاتی مانند وصله، سکه، مدال و در برخی موارد حتی نشان گردان بود.

«ایمیل‌ها و پیوست‌ها اطلاعات حساسی را در مورد مقامات عالی رتبه نظامی افشا می‌کردند. آنها می‌توانند برای تعیین موقعیت آنها در واحدهای ارتش خاص، شماره تلفن، آدرس ایمیل و آدرس‌های حمل‌و نقل استفاده شوند. محققان سایبرنیوز گفتند که پیوست‌ها شامل طرح‌هایی برای نشان‌ها بودند.

تیم تحقیقاتی همچنین سایر مشکلات امنیتی را در مورد وب‌سایت کشف کردند، مانند پیکربندی مخزن git لو رفته، پوشه و ساختار فایل وب‌سایت. به نظر می‌رسد این فایل‌های مخفی به طور تصادفی آپلود شده و سهوا باز گذاشته شده‌اند. آنها پیوندهای عملیاتی این شرکت با چین را آشکار می‌کنند.

EnamelPins Inc. یک شرکت خصوصی است که در کالیفرنیا، ایالات متحده ثبت شده است. این سرویس در سال 2018 تأسیس شد. خدمات gs-jj.com عمدتاً غیرنظامیان را هدف قرار داده است.

با انتشار GPT-4o در ماه مه 2024 به همراه GPT-4، احتمالاً از خود می‌پرسید که تفاوت بین این مدل‌های هوش مصنوعی چیست و از کدام مدل ChatGPT باید استفاده کنید.

اگرچه مدل‌های GPT-4 OpenAI از یک پایه شروع می‌شوند، اما تفاوت‌های قابل‌توجهی دارند که به این معنی است که برای برخی از کارها بدون در نظر گرفتن هزینه‌های مرتبط با دسترسی به آنها، نسبت به سایرین مناسب‌تر هستند.

تفاوت بین مدل‌های GPT-4 OpenAI 

مدل‌های GPT-4 OpenAI شامل انواع مختلفی هستند که هر کدام برای رفع نیازهای مختلف طراحی شده‌اند. در اینجا مروری بر تفاوت‌های GPT-4، GPT-4o (Omni) و GPT-4o mini است.

GPT-4 مدل پایه است. این جملات پیچیده را می‌فهمد و تولید می‌کند و برای طیف وسیعی از کاربردها مانند نوشتن خلاق، تجزیه و تحلیل داده‌ها، ترجمه زبان و تولید کد مفید است. با پنجره زمینه 23000-25000 کلمه GPT-4، همچنین می‌توانید چندین سند طولانی را ضمیمه کنید و از آنها بخواهید به هر سؤالی در مورد فایل‌های آپلود شده شما پاسخ دهند. از آنجایی که این مدل پایه این سری است، شما همچنین می‌توانید به تمام ویژگی‌های مفید GPT -4 در GPT-4 Turbo و GPT-4o دسترسی داشته باشید.

GPT-4o mini یک مدل زبان کوچک (SLM) است که به خوبی با بسیاری از مدل‌های زبان بزرگ (LLM) رقابت می‌کند. اگرچه GPT-4o mini بر روی مجموعه داده‌های کوچکتر و خاص‌تر آموزش داده شده است، GPT-4o mini در برخی از زمینه‌های کلیدی، مانند سرعت پاسخگویی و دسترسی رایگان کاربر، بهتر از GPT-4 عمل می‌کند.

با این حال، در حالی که GPT-4o mini به عنوان یک مدل چندوجهی طراحی شده است، نسخه فعلی ChatGPT آن تنها از متن پشتیبانی می‌کند، بدون اینکه توانایی استفاده از بینایی یا صدا را داشته باشد. علاوه بر این، برخلاف GPT-4 و GPT-4o، ChatGPT به GPT-4o mini اجازه نمی‌دهد فایل‌ها را پیوست کند. هنوز مشخص نیست که آیا ChatGPT قابلیت‌های چندوجهی را در GPT-4o mini در آینده امکان‌پذیر می‌کند یا خیر.

GPT-4o ("o" برای "omni") آخرین مدل اضافه شده به سری مدل‌های GPT-4 است و مدل پیش‌فرض انتخاب شده برای کاربران ChatGPT Free و Plus است. این مدل هوشمندتر و چهار برابر سریع‌تر از GPT-4 است که آن را برای برنامه‌های بلادرنگ ایده‌آل می‌کند. GPT-4o اولین مدل چند وجهی در این سری بود که قادر به تجزیه و تحلیل انواع فرمت‌های فایل مانند متن، صدا، تصویر و ویدئو بود و می‌تواند متن و تصاویر را در ChatGPT تولید کند.

علاوه بر این، OpenAI به کاربران سطح رایگان امکان دسترسی محدود به GPT-4o را با 16 پیام در هر 3 ساعت داده است. پس از آن، ChatGPT به استفاده از GPT-3.5 برمی‌گردد.
علاوه بر هزینه‌ها، زمان پاسخ و پنجره زمینه، معیار دقت را برای هر مدل نیز اضافه کرده‌ام تا به مقایسه دقت در کارهای مختلف کمک کند. آزمون‌های معیار شامل MMLU برای آزمایش دانش آکادمیک، GPQA برای ارزیابی دانش عمومی، HumanEval برای ارزیابی توانایی مدل‌ها در کدنویسی‌ و MATH برای حل مسائل ریاضی است. در هر کدام نمره بالاتر بهتر است.

از کدام مدل GPT-4 باید استفاده کنید؟

انتخاب مدل مناسب به نیازهای خاص شما و ماهیت وظایفی که قصد انجام آن را دارید بستگی دارد.

GPT-4o قدرتمندترین مدل در خط تولید است. بالاترین نمرات دقت را در تمام تست‌های محک دار دارد و احتمالا بهترین عملکرد را در هر تعاملی خواهد داشت. با این حال، تعداد پیام‌هایی که می‌توانید برای GPT-4o ارسال کنید، محدود است، به خصوص برای کاربران سطح آزاد. این محدودیت دلیلی کلیدی است که چرا باید همچنان به ChatGPT Plus ارتقا دهید.

با این حال، بهتر است استفاده از GPT-4o را برای فعل و انفعالاتی که نیاز به ورودی‌ها و خروجی‌های چندوجهی دارند یا زمانی که به حداکثر دقت نیاز است رزرو کنید. از آنجایی که GPT-4o mini از نظر ریاضیات، دانش آکادمیک، کدنویسی و دانش عمومی بهتر از GPT-4 عمل می‌کند، این مدل باید برای پرس‌و‌جوهای مبتنی بر متن در جایی که به دقت بالاتری نیاز است استفاده شود. از مدل GPT-4 برای مواردی که پیوست کردن فایل‌هایی مانند اسناد، فایل‌های PDF و صدا مورد نیاز است استفاده کنید.

محققان امنیت سایبری یک قطعه مخفی جدید از بدافزار لینوکس را کشف کرده‌اند که از روشی غیر متعارف برای دستیابی به پایداری در سیستم‌های آلوده و پنهان کردن کد اسکیمر کارت اعتباری استفاده می‌کند.

این بدافزار که به یک عامل تهدید با انگیزه مالی نسبت داده می‌شود، توسط تیم خدمات پاسخگویی به حوادث Aon's Stroz Friedberg با نام رمز sedexp شناخته شده است.

محققین می‌گویند: «این تهدید پیشرفته که از سال 2022 فعال است، در دید آشکار پنهان می‌شود و در عین حال به مهاجمان قابلیت‌های پوسته معکوس و تاکتیک‌های پنهان‌سازی پیشرفته را ارائه می‌دهد».

چیزی که sedexp را قابل توجه می‌کند استفاده آن از قوانین udev برای حفظ پایداری است. Udev، جایگزینی برای Device File System، مکانیزمی را برای شناسایی دستگاه‌ها بر اساس ویژگی‌های آن‌ها و پیکربندی قوانینی ارائه می‌دهد تا در صورت تغییر در وضعیت دستگاه، یعنی دستگاهی که به برق وصل یا حذف شده است، پاسخ دهند.

هر خط در فایل قوانین udev حداقل یک بار دارای جفت کلید-مقدار است، که این امکان را فراهم می‌کند که دستگاه‌ها را بر اساس نام مطابقت داده و هنگام شناسایی رویدادهای مختلف دستگاه، اقدامات خاصی را آغاز کند (به عنوان مثال، هنگام اتصال یک درایو خارجی، یک پشتیبان‌گیری خودکار راه‌اندازی شود)

SUSE Linux در مستندات خود خاطرنشان می‌کند: «یک قانون تطبیق ممکن است نام گره دستگاه را مشخص کند، پیوندهای نمادین را به گره اضافه کند، یا یک برنامه مشخص را به عنوان بخشی از مدیریت رویداد اجرا کند». "اگر هیچ قانون منطبقی یافت نشد، نام گره دستگاه پیش فرض برای ایجاد گره دستگاه استفاده می‌شود."

این بدافزار دارای قابلیت‌هایی برای راه‌اندازی پوسته معکوس برای تسهیل دسترسی از راه دور به میزبان آسیب‌دیده، و همچنین تغییر حافظه برای پنهان کردن فایل‌های حاوی رشته «sedexp» از دستوراتی مانند ls یا find است.

استروز فریدبرگ گفت در مواردی که بررسی کرده است، از این قابلیت برای مخفی کردن پوسته‌های وب، فایل‌های پیکربندی تغییر یافته آپاچی و خود قانون udev استفاده شده است.

محققان گفتند: «این بدافزار برای مخفی کردن کد خراش کارت اعتباری در یک وب سرور استفاده شد که نشان دهنده تمرکز بر سود مالی است. "کشف sedexp پیچیدگی در حال تکامل عوامل تهدید کننده با انگیزه مالی فراتر از باج افزار را نشان می‌دهد."

مجرمان سایبری از برنامه‌های وب پیش‌رو (PWA) در جدیدترین کلاهبرداری فیشینگ سوء‌استفاده می‌کنند و کاربران تلفن همراه را در چک، مجارستان و گرجستان هدف قرار می‌دهند.

شرکت امنیت سایبری ESET موج جدیدی از کمپین‌های فیشینگ را کشف کرده است که از برنامه‌های کاربردی وب پیش‌رو (PWAs) استفاده می‌کنند و از نوامبر 2023 فعال هستند. طبق گزارش‌ها، بازیگران تهدید یک تکنیک جدید فیشینگ را ارائه کرده‌اند که از PWA برای فریب قربانیان ناآگاه استفاده می‌کند.

PWAها برنامه‌های کاربردی وب هستند که برای ارائه یک تجربه برنامه تقریباً بومی در دستگاه‌های تلفن همراه طراحی شده‌اند. کاربران می‌توانند آنها را روی صفحه اصلی خود نصب کرده و درست مانند برنامه‌های معمولی راه‌اندازی کنند. ESET گزارش می‌دهد که عوامل تهدید از ماهیت چند پلتفرمی PWA‌ها برای هدف قرار دادن کاربران iOS و Android با یک برنامه فیشینگ استفاده می‌کنند.

این کمپین معمولاً با یک پیوند فیشینگ ارائه شده از طریق پیامک، تبلیغات نادرست رسانه‌های اجتماعی یا تماس‌های صوتی خودکار شروع می‌شود و از کاربران می‌خواهد برای به‌روزرسانی‌های امنیتی یا پیشنهادات انحصاری کلیک کنند. با کلیک کردن روی پیوند، به وب‌سایتی می‌رسید که برای تقلید از فروشگاه رسمی برنامه یا وب‌سایت بانک مورد نظر طراحی شده است و از کاربران خواسته می‌شود نسخه جدیدی از برنامه را «نصب کنند».

پس از نصب، PWA مخرب به عنوان یک برنامه بانکی قانونی ظاهر می‌شود و کاربران را وادار می‌کند تا اعتبار ورود خود را وارد کنند. سپس این اطلاعات حساس به سرورهای مهاجم منتقل می‌شود و حساب‌های مالی کاربران را در معرض خطر قرار می‌دهد.

برخلاف دانلودهای سنتی برنامه، نصب PWA هیچ هشدار امنیتی ایجاد نمی‌کند، زیرا PWAها اساساً وب سایت‌هایی هستند که به عنوان برنامه ظاهر می‌شوند. این نصب بی‌صدا به ویژه برای کاربران iOS که به فرآیند نصب برنامه ایمن‌تر عادت دارند نگران کننده است.

این طرح می‌تواند حتی در دستگاه‌های اندرویدی فریبنده تر باشد. مهاجمان ممکن است از WebAPK‌ها استفاده کنند، فناوری که به کروم اجازه می‌دهد یک برنامه با ظاهر بومی از یک PWA تولید کند. این توهم یک برنامه قانونی را بیشتر تقویت می‌کند، زیرا WebAPK نصب شده نشان مرورگر را روی نماد خود ندارد.

محققان ESET چندین کمپین فیشینگ را مشاهده کرده‌اند که کاربران را در چک، مجارستان و گرجستان هدف قرار می‌دهند. این کمپین‌ها از حملات مبتنی بر PWA و WebAPK برای سرقت اطلاعات حساس استفاده کردند.

تعداد قابل توجهی از تلاش‌های فیشینگ به سمت مشتریان بانک‌های چک انجام شد و مهاجمان از تبلیغات رسانه‌های اجتماعی برای توزیع لینک‌های مخرب استفاده کردند. در مجارستان، مهاجمان مشتریان OTP Bank را هدف قرار دادند و یک حمله فیشینگ مبتنی بر PWA که یک بانک را هدف قرار داد در گرجستان مشاهده شد. تحقیقات ESET به سرعت به بانک‌های آسیب‌دیده اطلاع داد و به حذف چندین دامنه فیشینگ و سرورهای C&C کمک کرد.

تجزیه‌و تحلیل بیشتر دو کمپین فیشینگ مجزا را نشان داد که هر کدام از زیرساخت سرور C&C متفاوتی استفاده می‌کردند. این نشان دهنده حضور چندین عامل تهدید کننده است که از این روش جدید فیشینگ سوء‌استفاده می‌کنند.

TodoSwift که توسط گروه تهدید BlueNoroff ساخته شده است، از Swift/SwiftUI اپل برای ارائه یک PDF فریبنده روی بیت کوین در حالی که مخفیانه یک محموله بدخواهانه را دانلود می‌کند، استفاده می کند. 

موج جدیدی از بدافزارها و آسیب‌پذیری‌های امنیتی که کاربران macOS را هدف قرار می‌دهند، کشف شده است که این بار در قالب یک فایل PDF بیت کوین قابل دانلود و به ظاهر بی‌ضرر پنهان شده است. محققان در Kandji این بدافزار را شناسایی کرده‌اند که آن را TodoSwift همانطور که در Swift/SwiftUI نوشته شده است، نام‌گذاری کرده‌اند.

گزارش کانجی نشان می‌دهد که این بدافزار در فایلی به نام TodoTasks پنهان شده است که در 24 ژوئیه 2024 در VirusTotal آپلود شده است.

بررسی‌های بیشتر نشان داد که TodoTasks از یک برنامه رابط کاربری گرافیکی نوشته شده در Swift/SwiftUI برای پنهان کردن اهداف مخرب خود استفاده می‌کند. این نرم افزار خود را به عنوان ابزاری برای دانلود و نمایش فایل‌های PDF معرفی می‌کند. با این حال، در زیر سطح، TodoTasks هدف پلیدتری را به کار می‌گیرد.

در واقع، بدافزار مخفیانه یک برنامه مخرب ثانویه را دانلود و اجرا می‌کند. این رویکرد دو مرحله‌ای تشخیص آن را چالش‌برانگیزتر می‌کند، زیرا ممکن است برنامه اولیه قانونی به نظر برسد.

همه چیز با ایجاد یک شیء کنترلر پنجره از طریق متد makeWindowControllers شروع می‌شود که برای اجرای رفتار مخرب بدافزار استفاده می‌شود. سپس قطره چکان یک تابع ارائه PDF را فراخوانی می‌کند که دو URL را از حافظه بازیابی می‌کند: یکی به پیوند Google Drive اشاره می‌کند و دیگری مشکوک به مخرب بودن.

محققان این بدافزار را به گروه عامل تهدید کره شمالی BlueNoroff بر اساس شباهت‌ها به بدافزارهای قبلا مشاهده شده KandyKorn و RustBucket نسبت داده‌اند.

BlueNoroff زیرگروهی از گروه بزرگ‌تر تحت حمایت دولت کره شمالی به نام Lazarus است و به دلیل هدف قرار دادن مداوم موسسات مالی، صرافی‌های ارزهای دیجیتال و نهادهای دولتی شناخته شده است. اخیراً، BlueNoroff توانایی پیچیده‌ای را برای فرار از شناسایی و اجرای حملات سایبری پیچیده نشان داده است.

در سال 2019، وزارت خزانه داری آمریکا سه گروه سایبری کره شمالی به نام‌های لازاروس، بلونورف و اندریل را به دلیل فعالیت‌های سایبری آنها در زیرساخت‌های حیاتی به اتهام حمایت از برنامه‌های تسلیحاتی و موشکی غیرقانونی تحریم کرد. با این حال، این گروه همچنان یک تهدید دائمی است.

ویندوز 11 از شما می‌خواهد که با یک حساب مایکروسافت وارد شوید تا راه‌اندازی رایانه جدید خود را به پایان برسانید. با این حال، اگر اتصال اینترنتی فعال ندارید یا می‌خواهید از یک حساب کاربری محلی استفاده کنید، می‌توانید این روش‌ها را برای راه‌اندازی ویندوز 11 دنبال کنید.

1. دور زدن نیاز اینترنت خارج از جعبه (OOBE).

می توانید با استفاده از دستور OOBE \BYPASSNRO در Command Prompt، اجازه دهید شما را به صفحه شبکه متصل کنیم دور بزنید. هنگامی که اجرا می شود، یک اسکریپت CMD موجود به نام bypassnro.cmd را اجرا می کند که در پوشه System32 ذخیره شده است تا رجیستری ویندوز را تغییر دهد. این تغییر به شما امکان می دهد تا تنظیمات ویندوز 11 را بدون اتصال به اینترنت تکمیل کنید. برای انجام این کار:

کامپیوتر خود را با رسانه نصب ویندوز بوت کنید. اگر قبلاً در صفحه اجازه دهید شما را به صفحه شبکه متصل کنیم، به مرحله 6 زیر بروید.
وقتی کادر گفتگوی Windows Setup ظاهر شد، زبان، زمان و طرح ورودی صفحه کلید دلخواه خود را انتخاب کنید و روی Next کلیک کنید. سپس روی Install Now کلیک کنید.
کلید محصول خود را وارد کنید تا ویندوز 11 فعال شود. اگر کلید محصول ندارید، روی پیوند کلید محصول ندارم در گوشه پایین سمت راست کلیک کنید. اگر از ویندوز 10 یا نسخه قدیمی‌تر ویندوز 11 ارتقا می‌دهید، سیستم‌عامل به‌طور خودکار کلید محصول ویندوز مرتبط با سخت‌افزار رایانه شما را شناسایی و تأیید می‌کند.
در مرحله بعد، اگر از شما خواسته شد، نسخه ویندوز 11 را که می خواهید نصب کنید، انتخاب کنید. برای پذیرش شرایط، کادر را علامت بزنید و روی Next کلیک کنید. سپس، Custom: Install Windows Only (Advanced) را انتخاب کنید.
درایو نصب را انتخاب کرده و روی Next کلیک کنید. منتظر بمانید تا نصب ویندوز تمام شود و کامپیوتر خود را مجددا راه‌اندازی کنید. در صفحه تنظیمات، منطقه و طرح صفحه کلید خود را انتخاب کنید.
پس از وارد شدن به صفحه اجازه دهید شما را به صفحه شبکه متصل کنیم، Shift + F10 را فشار دهید تا Command Prompt اجرا شود.

در پنجره Command Prompt دستور زیر را تایپ کرده و Enter را فشار دهید:
OOBE\BYPASSNRO
اکنون سیستم شما راه‌اندازی مجدد شده و گفتگوی OOBE را مجددا راه‌اندازی می‌کند. دستورالعمل‌های روی صفحه را برای تکمیل تنظیمات دنبال کنید. وقتی به صفحه اجازه دهید شما را به صفحه شبکه متصل کنیم، روی I don't have Internet کلیک کنید.
سپس روی Continue with limited setup کلیک کنید. سپس، موافقت نامه مجوز را بپذیرید و اقدام به ایجاد حساب کاربری محلی خود کنید.

همچنین، حتماً سؤالات امنیتی را اضافه کنید. این به شما کمک می‌کند تا در صورت فراموشی رمز عبور، حساب کاربری محلی خود را بازیابی کنید. پس از انجام، دستورالعمل‌های روی صفحه را دنبال کنید تا راه‌اندازی کامل شود.

2. فرآیند جریان اتصال شبکه را با استفاده از Task Manager پایان دهید
می‌توانید با پایان دادن به فرآیند oobenetworkconnectionflow.exe، صفحه «بیایید شما را به شبکه متصل کنیم» دور بزنید. از آنجایی که شما قبلاً ویندوز 11 را در این مرحله نصب کرده‌اید، می‌توانید Task Manager را در بالای جادوگر راه‌اندازی خود با استفاده از Command Prompt راه‌اندازی کنید و روند را از بین ببرید.
برای پرش از تنظیمات شبکه ویندوز 11 با استفاده از Task Manager:

با فرض اینکه در صفحه اجازه دهید شما را به صفحه شبکه متصل کنیم، Shift + F10 را فشار دهید تا Command Prompt اجرا شود.
در پنجره Command Prompt عبارت taskmgr را تایپ کرده و Enter را بزنید تا Task Manager اجرا شود. یا می‌توانید Ctrl + Shift + Esc را فشار دهید تا آن را اجرا کنید.
روی More Details کلیک کنید تا Task Manager در نمای کامل باز شود.
به تب Processes رفته و از نوار جستجو در Task Manager برای یافتن فرآیند Network Connection Flow استفاده کنید.
فرآیند Network Connection Flow را انتخاب کنید و سپس روی دکمه End task کلیک کنید. صبر کنید تا فرآیند به پایان برسد و سپس Task Manager را ببندید.
exit را در Command Prompt تایپ کنید و کلید Enter را بزنید.

فرآیند نصب به‌روزرسانی می‌شود و به جادوگر راه‌اندازی هدایت می‌شوید. مقداری انیمیشن در حال بارگذاری را نشان می‌دهد و سپس به مرحله بعدی می‌رود. در اینجا، نام و رمز عبور خود را وارد کنید تا یک حساب کاربری محلی در ویندوز 11 ایجاد کنید و تنظیمات را تکمیل کنید.

پس از اتمام نصب، به اینترنت متصل شوید. سپس به Settings > Windows Update بروید و تمام به روز رسانی‌های امنیتی و ویژگی‌های مهم را دانلود کنید. همچنین ممکن است پس از تنظیم اولیه متوجه چند آیکون از دست رفته شوید. هنگامی که رایانه شخصی خود را به اینترنت متصل می‌کنید، ویندوز این نمادها را دانلود می‌کند.