فضای دیجیتال، که زمانی یادآور یک چمنزار آرام بود، به یک میدان نبرد تبدیل شده است که در آن مهاجمان و شرکت‌های امنیت سایبری دائما درحال رقابت و پیشی گرفتن از یکدیگر هستند.

با پیچیده‌تر شدن سیستم‌های دفاعی، مهاجمان نیز سازگار می‌شوند و از روش‌های فریبنده‌ی جدیدی برای دور زدن محصولات امنیتی و سوءاستفاده استفاده می‌کنند.

یکی از این تاکتیک‌ها، که اخیراً توسط Trellix Email Security کشف شده است، از بنیانِ امنیت یعنی ذخیره‌سازی (caching) بهره می‌برد تا به کاربران بی‌گمان آسیب برساند.

ابزارهای مختلف در جعبه ابزار یک مهاجم:

محدودیت جغرافیایی: محتوای مخرب در مناطق خاصی خود را بی‌خطر نشان می‌دهد و از شناسایی در جاهای دیگر فرار می‌کند.
دور زدن Captcha: مکانیسم‌های خودکار از Captchaها عبور می‌کنند و مانع از تجزیه و تحلیل محتوای مخرب URL می‌شوند.
فرار از محدودیت IP: IPهای لیست سیاه در مقابل بررسی پنهان می‌مانند تا محتوای مخرب آنها قابل شناسایی نباشد.
فیشینگ از طریق کد QR: کدهای QR مبهم از فیلترهای سنتی ایمیل امنیتی عبور می‌کنند و راه را برای حملات فیشینگ هموار می‌کنند.
مسموم کردن کش: شاهکار فریب

Trellix Email Security یک روش جدید دور زدن را کشف کرده است که از ذخیره‌سازی (caching) سوءاستفاده می‌کند، مکانیزمی که توسط محصولات امنیتی برای بهینه‌سازی عملکرد استفاده می‌شود.

ذخیره‌سازی شامل ذخیرهٔ موقت نتایج تجزیه و تحلیل URLها است. هنگام برخورد مجدد با همان URL، به‌جای تکرار تحلیل، از نتیجه‌ی کش‌شده استفاده می‌شود تا منابع ارزشمند ذخیره شوند.

این حمله‌ی خلاقانه در سه مرحله‌ی مجزا انجام می‌شود:

مرحله 1: طعمه‌ی فریبنده
حمله با ایمیلی حاوی یک URL ظاهراً بی‌خطر که به عنوان اقدام به عمل (CTA) ارائه می‌شود، اغلب به‌عنوان پیوندی به یک سند OneDrive پنهان می‌شود. این تاکتیک از اعتماد ذاتی مرتبط با دامنه مایکروسافت استفاده می‌کند.

مرحله 2: محتوای پنهان
با برخورد با URL CTA، موتور امنیتی آن را تجزیه و تحلیل می‌کند و متوجه پیوندی به یک وب‌سایت معتبر مانند Google یا Microsoft می‌شود. موتور آن را امن تشخیص داده و این حکم را در کش ذخیره می‌کند.

مرحله 3: جهش آفتاب‌پرست
پس از اینکه URL به‌عنوان امن کش شد، مهاجمان حمله را آغاز می‌کنند. آنها به‌شکل مخفیانه‌ای لینک ظاهراً بی‌خطر درون URL CTA را تغییر می‌دهند و آن را به محتوای مخرب واقعی هدایت می‌کنند.

با این حال، حکم «امن» کش‌شده باقی می‌ماند و به برخوردهای بعدی با URL CTA اجازه می‌دهد تا از تجزیه و تحلیل امنیتی عبور کنند و به صندوق ورودی گیرنده برسند.

درک این دستکاری پیچیده مکانیسم‌های ذخیره‌سازی برای پیشگیری مؤثر بسیار مهم است.

تهدیدی جهانی: فراتر از مرزها و صنایع

اطلاعات Trellix نشان می‌دهد که این حملات مسموم‌کننده‌ی کش موارد منزوی نیستند. آنها کاربران را در صنایع و مناطق مختلف هدف قرار داده‌اند، که نشان‌دهنده‌ی گستردگی این روش است.