‫ khozestan_salamat بلاگ

Kaspersky اخیرا ابزاری به نام iShutdown را راه اندازی کرده است که نه تنها برای شناسایی نرم افزارهای جاسوسی بدنام Pegasus بلکه برای شناسایی سایر تهدیدات بدافزار در دستگاه‌های iOS طراحی شده است.
 

ابزار iShutdown چند هفته پس از اینکه محققان امنیت سایبری کسپرسکی بینش‌های مهمی را در مورد عملیات مثلث‌سازی فاش کردند، راه‌اندازی شد. این تحقیق به بررسی این موضوع می‌پردازد که چگونه تهدیدات جاسوس‌افزاری آیفون‌ها را به خطر می‌اندازند.

تیم تحقیق و تحلیل جهانی کسپرسکی (GReAT) ابزار جدیدی را معرفی کرده است که به کاربران امکان می دهد Pegasus، یک نرم افزار جاسوسی محبوب iOS را که به دلیل هدف قرار دادن روزنامه نگاران و فعالان شناخته شده است، شناسایی کنند. این روش سبک وزن به نام iShutdown نشانه‌های جاسوس‌افزار را در دستگاه‌های iOS اپل، از جمله سه خانواده معروف جاسوس‌افزار Pegasus، QuaDream’s Reign و Intellexa’s Predator شناسایی می‌کند.

ابزار iShutdown اکنون در دسترس عموم است، هفت ماه پس از آن که آزمایشگاه کسپرسکی در ابتدا از هک کردن آیفون‌های کارمندان خود خبر داد که به آن Operation Triangulation گفته می‌شود. در دسامبر 2023، این شرکت به‌روزرسانی‌ را منتشر کرد که نشان می‌داد هکرها احتمالاً از یک ویژگی سخت‌افزاری مبهم در طول حملات جاسوس‌افزار علیه کاربران آیفون سوء استفاده کرده‌اند.

این روش روی مجموعه‌ای از آیفون‌های در معرض خطر Pegasus آزمایش شد. با این حال، باید توجه داشت که این روش/ابزار متفاوت از برنامه iShutdown iOS است که به دستگاه‌های مک اجازه می‌دهد خاموش/خواب/راه‌اندازی مجدد/خروج شوند.

به گفته این شرکت امنیت سایبری، ردپایی از فرآیندهای مرتبط با Pegasus در یک فایل گزارش سیستم مبتنی بر متن به نام "Shutdown.log" در آیفون‌هایی که در معرض این نرم‌افزار جاسوسی قرار دارند، کشف شد.

فایل گزارش در آرشیو sysdiagnose دستگاه‌های iOS ذخیره می‌شود. هر رویداد راه‌اندازی مجدد را با ویژگی‌های محیطی‌اش ثبت می‌کند و به طور کلی یک مصنوع پزشکی قانونی نادیده گرفته می‌شود. این می‌تواند ورودی‌هایی داشته باشد که قدمت چندین سال قبل دارند و اطلاعات ارزشمندی را ارائه می‌دهند. هنگامی که کاربر راه اندازی مجدد را آغاز می کند، سیستم عامل فرآیندهای در حال اجرا، شستشوی بافرهای حافظه و انتظار برای راه اندازی مجدد عادی را خاتمه می دهد.

تجزیه و تحلیل آن فرآیندهای "چسبنده" را نشان داد که مانع راه اندازی مجدد می شود. فرآیندهای مربوط به Pegasus در بیش از چهار اطلاعیه تاخیر راه اندازی مجدد یافت شد. این ناهنجاری‌ها در طی مراحل راه‌اندازی مجدد به ابزار اجازه می‌دهد تا عفونت‌های احتمالی را با دقت بالا علامت‌گذاری کند. تجزیه و تحلیل بیشتر مسیر سیستم فایل مشابهی را نشان داد که توسط هر سه خانواده نرم افزارهای جاسوسی، "/private/var/db/" برای Pegasus و Reign، و "/private/var/tmp/" برای Predator به عنوان شاخص سازش استفاده می شود.

ماهر یاموت، محقق ارشد امنیتی Kaspersky GreAT، سازگاری لاگ را با سایر عفونت‌های Pegasus تأیید کرده است و آن را به یک مصنوع قانونی قابل اعتماد برای تجزیه و تحلیل عفونت تبدیل می‌کند. این ابزار حفاظت پیشرفته‌تری را برای پایگاه کاربر گسترده‌تری ارائه می‌دهد. یاموت توضیح داد: «در مقایسه با روش‌های زمان‌برتر جذب مانند تصویربرداری از دستگاه پزشکی قانونی یا پشتیبان‌گیری کامل iOS، بازیابی فایل Shutdown.log بسیار ساده است.

Kaspersky یک ابزار Python3 در GitHub برای کاربران macOS، Windows و Linux برای شناسایی نرم افزارهای جاسوسی توسعه داده است. این ابزار مصنوعات Shutdown.log را استخراج، تجزیه و تحلیل و تجزیه می کند. تشخیص را ساده می‌کند و آگاهی را افزایش می‌دهد و به کاربران قدرت می‌دهد تا کنترل امنیت دیجیتال خود را در دست بگیرند. با این حال، کسپرسکی به کاربران پیشنهاد می‌کند رویکردی جامع را نسبت به امنیت داده‌ها و دستگاه اتخاذ کنند. این شرکت به کاربران توصیه می‌کند راه‌اندازی مجدد روزانه، استفاده از حالت قفل، غیرفعال کردن iMessage و FaceTime، به‌روزرسانی‌های به‌موقع iOS و چک‌های پشتیبان‌گیری منظم را انجام دهند.

این اعلام پس از گزارش SentinelOne منتشر شد که نشان داد دزدان اطلاعاتی که macOS را مورد هدف قرار می دهند مانند KeySteal، Atomic و JaskaGo به سرعت در حال سازگاری برای دور زدن فناوری آنتی ویروس داخلی اپل به نام XProtect هستند.

حملات تزریق سریع هوش مصنوعی از آسیب پذیری های مدل‌های هوش مصنوعی مولد برای دستکاری خروجی آن‌ها بهره می برند. به عبارت دیگر حمله تزریق سریع نوعی حمله سایبری است که در آن یک هکر یک پیام متنی را به یک مدل زبان بزرگ (LLM) یا ربات چت وارد می‌کند، که برای قادر ساختن کاربر برای انجام اقدامات غیرمجاز طراحی شده است. این موارد شامل نادیده گرفتن دستورالعمل‌های قبلی و دستورالعمل‌های تعدیل محتوا، افشای داده‌های اساسی، یا دستکاری در خروجی برای تولید محتوایی است که معمولاً توسط ارائه‌دهنده ممنوع است. دو نوع اصلی حملات تزریق سریع وجود دارد: مستقیم و غیر مستقیم

مایکروسافت کوپایلت (CRM 365 Copilot) یک دستیار دیجیتال هوشمند است که به کاربران Dynamics 365 کمک می‌کند تا کارآمدتر و موثرتر عمل کنند. مایکروسافت کوپایلت (Copilot) از هوش مصنوعی و یادگیری ماشین برای درک درخواست‌های کاربر و ارائه توصیه‌ها، نکات و کمک‌های شخصی‌سازی شده استفاده می‌کند.

مایکروسافت کوپایلت (Copilot) همچنین می‌تواند به کاربران در یادگیری نحوه استفاده بهتر از Dynamics 365  کمک کند. این ابزار می‌تواند نکات و توصیه‌هایی را ارائه دهد که به کاربران کمک می کند تا از ویژگی‌‎های مختلف Dynamics 365 استفاده کنند و کار خود را بهینه کنند.

از جمله مزایای این ابزار می‌توان موارد زیر را نام برد: 

1- افزایش بهره‌وری به کمک مایکروسافت کوپایلوت: مایکروسافت کوپایلت می‌تواند به کاربران Dynamics 365 کمک کند تا زمان خود را صرف کارهای مهم‌تر کنند و با مشتریان خود ارتباط برقرار کنند.

2- بهبود دقت با استفاده از کوپایلوت مایکروسافت: هوش مصنوعی کاپیلات 365 Microsoft می‌تواند به کاربران کمک کند تا از خطاهای انسانی جلوگیری کنند و اطمینان حاصل کنند که داده‌های CRM آنها دقیق است.

3- افزایش انعطاف پذیری با هوش مصنوعی کوپایلت مایکروسافت 365: مایکروسافت کوپایلت (Copilot) یک دستیار دیجیتال هوشمند است که می‌تواند با هر سبک کاری سازگار شود

4- صرفه جویی درهزینه به کمک استفاده از کوپایلوت مایکروسافت: یک ابزار مقرون به صرفه است که می‌تواند به کاربران Dynamics 365 در صرفه جویی در وقت و هزینه کمک کند.

هوش مصنوعی کاپیلات 365 Microsoft می‌تواند در موارد زیر به تیم‌های خدمات مشتری کمک کند:

افزایش سرعت پاسخگویی: هوش مصنوعی کوپایلت مایکروسافت 365، می‌تواند به تیم‌های خدمات مشتری کمک کند تا به سوالات مشتریان در زمان واقعی پاسخ دهند. به عنوان مثال، می‌تواند به تیم‌های خدمات مشتری کمک کند تا سوالات را در CRM جستجو کنند و پاسخ‌های مناسب را ارائه دهند.

بهبود دقت پاسخ ها: می‌تواند به تیم‌های خدمات مشتری کمک کند تا پاسخ‌های دقیق و مفید به سوالات مشتریان ارائه دهند. به عنوان مثال، می‌تواند به تیم‌های خدمات مشتری کمک کند تا اطلاعات را از منابع مختلف جمع‌آوری کنند و پاسخ‌های جامع ارائه دهند.

افزایش رضایت مشتری: مایکروسافت کوپایلت می‌تواند به تیم‌های خدمات مشتری کمک کند تا رضایت مشتری را افزایش دهند. به عنوان مثال، می‌تواند به تیم‌های خدمات مشتری کمک کند تا مشکلات مشتریان را سریع‌تر حل کنند و آنها را راضی نگه دارند.

کاهش هزینه های خدمات مشتری: هوش مصنوعی کاپیلات 365 Microsoft می‌تواند به تیم‌های خدمات مشتری کمک کند تا هزینه های خدمات مشتری را کاهش دهند. به عنوان مثال، می‌تواند به تیم‌های خدمات مشتری کمک کند تا تعداد تماس‌های تلفنی را کاهش دهند و از طریق ایمیل یا چت با مشتریان ارتباط برقرار کنند.

از این روش‌ها برای خواندن پیام های اینستاگرام بدون علامت گذاری به عنوان دیده شده استفاده کنید.

اگرچه اینستاگرام در حال حاضر ویژگی داخلی برای خاموش کردن رسید خواندن ندارد، اما راه‌حل‌هایی برای خواندن پیام‌های دایرکت اینستاگرام بدون برچسب مزاحم «seen» وجود دارد.

1. حساب فرستنده را محدود و لغو کنید
اگر پیامی دریافت کرده‌اید که می‌خواهید بدون اطلاع فرستنده آن را بخواند، می‌توانید حالت محدودیت را در اینستاگرام به طور موقت فعال کنید و پس از خواندن پیام، آن را از محدودیت خارج کنید. برای محدود کردن یک حساب کاربری، به نمایه آنها بروید و روی سه نقطه افقی واقع در گوشه سمت راست بالای صفحه ضربه بزنید. از منوی ظاهر شده روی Restrict ضربه بزنید. اکنون، هر پیام جدیدی از حساب محدود شده در پوشه Requests ظاهر می‌شود و وقتی چت را باز می‌کنید، برچسب مزاحم Seen دیگر نشان داده نمی‌شود. پس از خواندن پیام، همان مراحل بالا را دنبال کنید، اما این بار از منوی ظاهر شده Unrestrict را انتخاب کنید.

2. قبل از باز کردن پیام، آفلاین شوید و سپس از سیستم خارج شوید
یکی دیگر از ترفندهای ساده برای خواندن پیام‌های دایرکت اینستاگرام بدون تنظیم رسید خواندن این است که قبل از باز کردن آن، آفلاین شوید. برای خاموش کردن Wi-Fi یا داده‌های تلفن همراه در دستگاه iOS خود، انگشت خود را از گوشه سمت راست بالای صفحه به پایین بکشید تا مرکز کنترل باز شود. بسته به چیزی که استفاده می‌کنید، روی نمادهای Wi-Fi و داده تلفن همراه ضربه بزنید.

به طور مشابه، در دستگاه اندرویدی، برای دسترسی به پانل اعلان‌ها، انگشت خود را از بالای صفحه به پایین بکشید و روی نمادهای Wi-Fi و داده تلفن همراه ضربه بزنید. در اینجا لازم به ذکر است که این روش تنها در صورتی کار می‌کند که پس از دریافت پیامی که قصد خواندن آن را دارید، Wi-Fi یا داده‌های تلفن همراه را غیرفعال کنید. پس از اینکه اتصال اینترنت خود را غیرفعال کردید، به سادگی اینستاگرام را راه‌اندازی کنید و پیام را بخوانید.

یکی از مهم‌ترین مراحل این روش، خروج از حساب کاربری اینستاگرام خود پس از خواندن پیام است. برای انجام این کار می‌توانید به پروفایل اینستاگرام خود بروید و روی عکس پروفایل خود در گوشه سمت راست پایین صفحه ضربه بزنید. روی نماد سه خط در گوشه سمت راست بالای صفحه ضربه بزنید و به Settings and privacy > Log out بروید. بدون انجام این کار، اینستاگرام ممکن است به محض بازیابی اتصال اینترنت خود، رسید خواندن را ارسال کند.

3. پیام پیش‌نمایش‌های اعلان خود را بخوانید
یک راه بی‌دردسر برای خواندن پیام دایرکت اینستاگرام بدون ایجاد رسید خواندن، پیش‌نمایش اعلان‌ها است. قبل از اینکه تنظیمات اعلان دستگاه خود را تغییر دهید، مهم است که تنظیمات اعلان اینستاگرام را تنظیم کنید و مطمئن شوید که تنظیمات مناسب را فعال کرده‌اید. برای انجام این کار، روی نماد سه خطی در اینستاگرام ضربه بزنید و روی تنظیمات و حریم خصوصی ضربه بزنید. روی Notifications زیر هدر How you use Instagram ضربه بزنید و سپس Messages را انتخاب کنید. در نهایت، در زیر عنوان پیام‌ها از چت‌های فردی و گروهی، روشن را انتخاب کنید. برای فعال کردن پیش‌نمایش اعلان‌ها در دستگاه iOS، به Settings > Notifications بروید و روی Show Previews ضربه بزنید. اکنون می توانید بین دو گزینه انتخاب کنید: Always یا When Unlocked

شایان ذکر است که برای حفظ حریم خصوصی باید گزینه اول را انتخاب کنید. در غیر این صورت، هر کسی که به طور اتفاقی به دستگاه شما نگاه می‌کند، حتی زمانی که آن قفل است، می‌تواند به راحتی پیام‌های شما را بخواند. اگر می‌خواهید اعلان‌ها در صفحه قفل شما بدون نمایش محتوایی ظاهر شوند، مگر اینکه قفل آن را باز کنید، گزینه دوم را انتخاب کنید. اکنون به پیمایش ادامه دهید تا اینستاگرام را در قسمت Notification Style بیابید و سوئیچ Allow Notifications را تغییر دهید. برای فعال کردن پیش‌نمایش اعلان‌ها در دستگاه Android، به تنظیمات دستگاه خود بروید و روی Apps ضربه بزنید. به پیمایش ادامه دهید و اینستاگرام را از لیست برنامه‌ها انتخاب کنید. روی اعلان‌ها ضربه بزنید و کلید را برای اجازه دادن به اعلان‌ها روشن کنید. بسته به اولویت خود، روی Lock screen یا Pop-up ضربه بزنید.

اگر پیام فوق‌العاده طولانی نباشد، باید بتوانید بدون اطلاع فرستنده آن را بخوانید، زیرا نیازی به باز کردن برنامه اینستاگرام ندارید. فقط مراقب باشید هنگام خواندن پیام به طور تصادفی روی آن ضربه نزنید.

این روش‌ها به شما کمک می‌کنند پیام‌ها را بدون نگرانی در مورد اینکه رسید خواندن به شما می‌دهند، بخوانید. متأسفانه، تا زمانی که اینستاگرام یک روش رسمی برای غیرفعال کردن رسید خواندن راه‌اندازی کند، باید به راه‌حل‌ها تکیه کنید.

حمله سرقت نشست (Session Hijacking) که تحت عنوان حمله سرقت کوکی نیز شناخته می‌شود، زمانی اتفاق می‌افتد که نشست شما درون یک وب‌سایت توسط مهاجم ربوده می‌شود.

هنگامی که شما درون یک سرویس لاگین می‌کنید، یک نشست ایجاد می‌شود، مثلا زمانی که وارد اپلیکیشن بانکداری می‌شوید. و وقتی هم از آن بیرون می‌آیید، نشست به پایان می‌رسد. این دست از حملات به دانش مهاجم راجع به کوکی نشست شما متکی هستند و به همین خاطر سرقت کوکی هم نامیده‌ می‌شوند. اگرچه هر نشستی در کامپیوتر را به می‌توان به سرقت برد، سرقت نشست معمولا در مرورگر و وب اپلیکیشن‌ها اتفاق می‌افتد.

در اکثر مواقعی که شما وارد یک وب اپلیکیشن می‌شوید، سرور یک کوکی نشست موقت درون مرورگرتان قرار می‌دهد تا یادش بماند که شما وارد سرویس شده‌اید و هویت‌تان نیز احراز شده. HTTP پروتکلی بدون حالت است و اتصال کوکی‌ها به هدر HTTP، یکی از محبوب‌ترین روش‌های شناسایی مرورگر یا نشست فعلی شما از سوی سرور به حساب می‌آید.

برای سرقت نشست، مهاجم باید آی‌دی نشست (یا کلید نشست)‌ قربانی را بداند. این کار یا از طریق سرقت کوکی نشست انجام می‌شود یا ترغیب کاربر به کلیک روی لینکی آلوده که شامل یک آی‌دی نشست از پیش آماده خواهد بود. در هر دو مورد، بعد از اینکه کاربر توسط سرور احراز هویت می‌شود، هکر می‌تواند با استفاده از همان آی‌دی، برای سرقت نشست و اجرای آن در نشست مروگر خودش استفاده کند.

هکرها بعد از سرقت موفقیت‌آمیز نشست چه می‌کنند؟

اگر مهاجم موفق باشد، قادر به انجام هر کاری خواهد بود که کاربر اصلی در جریان نشست فعال خود قادر به انجام‌شان بوده است. بسته به اپلیکیشن هدف، چنین چیزی می‌تواند به معنای انتقال پول از حساب بانکی قربانی، جعل هویت قربانی برای خرید از فروشگاه‌ها، دسترسی به اطلاعات شخصی برای جعل هویت، سرقت اطلاعات شخصی کاربر از سیستم‌های یک کمپانی، رمزنگاری اطلاعات ارزشمند و درخواست باج برای رمزگشایی آن‌ها و چیزهایی از این دست باشد.

یک خطر برجسته برای سازمان‌های بزرگ اینست که از کوکی‌ها برای شناسایی کاربران احراز هویت شده روی سیستم‌های شناسایی یگانه نیز استفاده می‌شود. این یعنی یک سرقت نشست موفقیت‌آمیز در چنین سیستم‌هایی به مهاجم اجازه خواهد داد که به وب اپلیکیشن‌های متعددی دسترسی بیابد، از سیستم‌های مالی گرفته تا سیستم‌های حاوی سوابق مشتری و همه این‌ها می‌توانند شامل اطلاعات بسیار ارزشمند باشند.

هر کاربر نیز هنگام استفاده از سرویس‌های خارجی برای لاگین درون اپلیکیشن‌ها با خطراتی مشابه مواجه شده است، اما به خاطر تدابیر امنیتی موجود هنگام لاگین با اکانت‌های فیسبوک یا گوگل، سرقت کوکی نشست برای سرقت خود نشست کافی نخواهد بود.

تفاوت میان سرقت نشست و جعل نشست چیست؟

اگرچه هر دو ترفند شدیدا به یکدیگر شباهت دارند، اما تفاوت میان جعل و سرقت نشست در زمان‌بندی حمله ظاهر می‌شود. همانطور که از نامش پیداست، سرقت نشست به حمله به کاربری اشاره می‌کند که هم‌اکنون لاگین کرده و احراز هویت کرده. بنابراین از نقطه نگاه قربانی، حمله معمولا به کرش کردن اپلیکیشن هدف یا رفتارهای عجیب از سوی آن منجر می‌شود. هنگام جعل نشست، مهاجم از اطلاعات ربوده شده برای ایجاد یک نشست جدید و جعل هویت کاربر اصلی (که شاید اصلا از حمله باخبر نباشد) استفاده می‌کند.

چطور می‌توان از سرقت نشست جلوگیری کرد؟

خطر سرقت نشست ناشی از محدودیت‌های پروتکل بدون حالت HTTP است. کوکی‌های نشست راهی برای فائق آمدن بر این محدودیت‌ها هستند و به وب اپلیکیشن‌ها اجازه می‌دهند که سیستم‌های کامپیوتری را شناسایی و اطلاعات‌شان را در وضعیت کنونی نشست ذخیره کنند. مثلا سبد خرید شما در یک فروشگاه آنلاین.

برای کاربران عادی مرورگرها، پیروی از چند قانون ساده می‌تواند ریسک این حملات را کاهش دهد، اما از آن‌جایی که سرقت نشست با سوء استفاده از مکانیزم‌های بنیادین تعبیه شده از سوی گستره وسیعی از وب اپلیکیشن‌ها صورت می‌گیرد، هیچ راهی برای تضمین امنیت در برابر این متد وجود دارد. برخی از رایج‌ترین کارهایی که می‌توان انجام داد به شرح زیر است:

استفاده از HTPPS برای حصول اطمینان از اینکه تمام ترافیک نشست رمزگذاری می‌شود. این باعث می‌شود هکرها قادر به دستیابی به آی‌دی نشست در قالب متنی آشکار نباشند، حتی در صورتی که ترافیک قربانی را پایش کنند.
استفاده از HttpOnly در هدر HTTP تا از دسترسی به کوکی‌ها از طریق اسکریپت‌های سمت مشتری جلوگیری شود. این باعث می‌شود XSS و دیگر حملات وابسته به تزریق جاوا اسکریپت در مرورگر، قابل انجام نباشند.
به جای ساخت ابزار مدیریت نشست جدید خودتان، بهتر است از وب فریم‌وورک‌هایی استفاده شود که آی‌دی‌های قابل اعتماد برای نشست می‌سازند.
می‌توان بعد از احراز هویت اولیه کاربر، یک کلید نشست جدید ساخت. به این ترتیب بعد از احراز هویت، کلید نشست فورا تغییر کرده و هکر حتی با در دست داشتن آی‌دی ابتدایی دیگر قادر به انجام هیچ کاری نخواهد بود.
انجام احراز هویت اضافی، فراتر از کلید نشست هم کارآمد خواهد بود. این یعنی نه‌تنها باید از کوکی‌ها استفاده کرد، بلکه باید فاکتورهای دیگر مانند آی‌پی آدرس همیشگی کاربر و الگوهای مصرف از اپلیکیشن را نیز مد نظر قرار داد. نقطه ضعف این رویکرد آن است که هرگونه هشدار اشتباه می‌تواند باعث آزار رسیدن به کاربر واقعی شود.

شرکت امنیت سایبری WithSecure که سابقاً F-Secure Business بود، ارتباطی بین حملات بدافزار اخیر DarkGate که مشتریانش را هدف قرار می‌دهد و عوامل تهدید مستقر در ویتنام که کمپینی را برای ربودن حساب‌های تجاری متا و سرقت داده‌های حساس انجام می‌دهند، کشف کرده است.

طبق گفته تیم تشخیص و پاسخ WithSecure ‪(DRT)‬، چندین تلاش برای آلوده شدن با بدافزار DarkGate علیه سازمان های مشتریان آنها در بریتانیا، ایالات متحده آمریکا و هند در 4 اوت 2023 انجام شد.

اسناد فریب، الگوهای هدف، مضامین، روش‌های تحویل، و تاکتیک‌های حمله کلی بسیار شبیه مکانیسم حمله‌ای است که در کمپین‌های اخیر DuckTail infostealer مشاهده شده است. WithSecure بیش از یک سال است که این دزد اطلاعات را ردیابی می کند.

DarkGate یک تروجان دسترسی از راه دور (RAT) است که برای اولین بار در سال 2018 در فضای سایبری ظاهر شد. معمولاً به عنوان ابزار بدافزار به عنوان سرویس (MaaS) به مجرمان سایبری ارائه می شود. این یک بدافزار همه کاره است که در فعالیت‌های مخرب مختلف مانند سرقت رمزنگاری، سرقت اطلاعات و حملات باج‌افزار استفاده می‌شود.

محققان WithSecure داده‌های منبع باز مرتبط با کمپین بدافزار DarkGate را تجزیه و تحلیل کردند و پیوندهایی با چندین دزد اطلاعات ایجاد کردند. این الگو نشان می دهد که همان گروه یا عامل تهدید این حملات را انجام می دهد.

با شناسایی ویژگی‌های کمپین‌های بدافزار DarkGate، ما توانسته‌ایم نقاط محوری متعددی را پیدا کنیم که منجر به استفاده از سارقان اطلاعات و بدافزارهای دیگر در کمپین‌های بسیار مشابه، اگر نه یکسان، می‌شود، و به احتمال زیاد همان گروه عامل تهدید این کمپین ها را انجام می دهد» در گزارش WithSecure آمده است.

حمله با فایلی به نام «حقوق و محصولات جدید.8.4.zip» آغاز شد. هنگامی که کاربران ناخواسته آن را دانلود و استخراج کردند، یک اسکریپت VBS فعال شد. این اسکریپت باینری اصلی ویندوز (Curl.exe) را تغییر نام داد و در یک مکان جدید کپی کرد و به یک سرور خارجی متصل شد تا دو فایل اضافی را بازیابی کند: autoit3.exe و یک اسکریپت Autoit3 کامپایل شده. متعاقباً، اسکریپت فایل اجرایی را اجرا کرد، مبهم‌سازی کرد و DarkGate RAT را با استفاده از رشته‌های درون اسکریپت مونتاژ کرد.

WithSecure شناسه های قوی پیدا کرد که به شرکت کمک کرد تا بین این دو کمپین ارتباط برقرار کند. آنها همچنین خاطرنشان کردند که مهاجمان از بسیاری از بدافزارها و دزدهای اطلاعاتی مختلف از جمله Ducktail، Redline Stealer و Lobshot استفاده کرده‌اند.

استفان رابینسون، تحلیلگر ارشد اطلاعاتی با تهدید WithSecure، در یک پست وبلاگ گفت: «بر اساس آنچه مشاهده کرده‌ایم، به احتمال زیاد یک بازیگر پشت چندین کمپینی است که ما ردیابی کرده‌ایم و حساب‌های Meta Business را هدف قرار می‌دهند.

سازمان‌ها باید هوشیار باشند و از مکانیسم‌های امنیتی سایبری سختگیرانه برای جلوگیری از DarkGate و سایر تهدیدات بدافزار استفاده کنند. اطمینان از راه‌حل‌های آنتی ویروس به‌روز، آموزش کارکنان در مورد بهترین شیوه‌های امنیت سایبری، استفاده از رمزهای عبور قوی با پشتیبانی MFA (تأیید هویت چند عاملی) و نظارت بر فعالیت شبکه برای رفتارهای مشکوک ضروری است.