مجرمان سایبری فیشینگ و گواهینامه EV را ترکیب می کنند

در این مقاله، اقدامات تهدیدی که پشت تروجان‌های اطلاعاتی RedLine و Vidar قرار دارند، به تبدیل شدن به نرم‌افزارهای رمزگذاری‌کننده (باج افزار) از طریق حملات فیشینگ از طریق کمپین‌هایی که پیام‌های اولیه آنها با گواهی‌نامه‌های امضای کد Extended Validation (EV) امضا می‌شوند، مشاهده شده است.

“این نشان می‌دهد که اقدام‌گران تهدیدی به بهینه‌سازی عملیات خود با ایجاد تکنیک‌های چند منظوره مشغول هستند.” تحلیل جدیدی که توسط پژوهشگران Trend Micro در این هفته منتشر شده است، این گونه توضیح داده شده است.

در حادثه‌ای که توسط شرکت امنیت سایبری مورد بررسی قرار گرفته، یک قربانی نامعلوم ابتدا یک قطعه نرم‌افزار دزد اطلاعات با گواهی‌نامه‌های امضای کد EV دریافت کرده است، سپس نرم‌افزار باج افزار با استفاده از همان تکنیک تحویل داده می‌شود.

در گذشته، رخنه QakBot از نمونه‌هایی با گواهی‌نامه‌های امضای کد معتبر برای عبور از محافظت‌های امنیتی استفاده کرده‌اند.

حملات با ارسال ایمیل‌های فیشینگ شروع می‌شوند که از طریق مهمانه‌هایی که به قربانیان شده استفاده می‌کنند، قربانیان را به اجرای پیوسته‌های مخرب که به عنوان فایل‌های PDF یا تصاویر JPG تقلید می‌کنند وا می‌کنند، ترفیع می‌دهند.

به عنوان مثال، کمپینی که به هدف قرار دادن نرم‌افزار دزد اطلاعات در ماه ژوئیه شروع شد، پس از دریافت یک پیام ایمیل حاوی پیوست ایمیل شکایت کذب (“TripAdvisor-Complaint.pdf.htm”) که مشابه یک توسعه مراحل است که در نهایت به نصب باج افزار منجر می‌شود.

“در این نقطه، ارزش  توجه داشتن که برخلاف نمونه‌های دزد اطلاعاتی که مورد بررسی قرار گرفته‌اند، فایل‌های مورد استفاده برای ارسال بار دزد اطلاعات گواهی‌نامه EV نداشتند.” پژوهشگران افزودند.

“با این حال، این دو نمونه از یک فاعل تهدید نشأت می‌گیرند و با استفاده از همان روش تحویل انتشار می‌یابند. بنابراین می‌توانیم یک تقسیم کار بین ارائه دهنده بار و اپراتورها فرض کنیم.”

توسعه‌های این حوزه در حالی رخ می‌دهد که IBM X-Force کمپین‌های فیشینگ جدیدی را برای گسترش نسخه بهبود یافته یک بارگذاری مخرب به نام DBatLoader کشف کرد که در سال جاری به عنوان یک کانال برای توزیع نرم‌افزارهای FormBook و Remcos RAR به کار رفته است.

قابلیت‌های جدید DBatLoader تسهیل عبور از UAC، ثبات و تزریق پروسه را فراهم می‌کند، که نشان دهنده فعالیت فعال در زمینه افشا نرم‌افزارهای مخربی است که می‌توانند اطلاعات حساس را جمع‌آوری کنند و کنترل از راه دور را برای سیستم‌ها فراهم کنند.

سری حملات اخیر، که از اواخر ژوئن شناسایی شده است، برای ارسال نرم‌افزارهای مالی مانند Agent Tesla و Warzone RAT طراحی شده‌اند. بیشتر پیام‌های ایمیل به انگلیسی ارسال شده‌اند، اگرچه ایمیل‌های به زبان اسپانیایی و ترکی نیز مشاهده شده‌اند.

“در چندین کمپین مشاهده شده، اقدام‌گران تهدیدی کنترل کافی را بر روی زیرساخت ایمیل داشتند تا ایمیل‌های مخرب را بگذرانند،” شرکت اعلام کرد.

“بیشترین کمپین‌ها از OneDrive برای مرحله‌بندی و بازیابی بارهای اضافی استفاده می‌کنند، با یک سهمیه کوچک دیگر از ترانسفر[.]sh یا دامنه‌های جدید/تخریب‌شده.”

در اخبار مرتبط، Malwarebytes اعلام کرد که یک کمپین تبلیغاتی جدید کاربرانی را هدف قرار داده است که در جستجوی نرم‌افزار ویدئو کنفرانس Cisco Webex در موتورهای جستجویی مانند گوگل هستند و آنها را به یک وب‌سایت کذب هدایت می‌کند که نرم‌افزار BATLOADER را منتشر می‌کند.

BATLOADER، به عبارت دیگر، تماسی با سرور از راه دور برای دانلود بار دوم رمزگذاری‌شده برقرار می‌کند، که نمونه‌ای دیگر از نرم‌افزار دزد و کی‌لوگر شناخته شده به نام DanaBot است.

تکنیک نوآورانه‌ای که توسط فاعل تهدید اتخاذ شده است، استفاده از URL‌های الگوی پیگیری به عنوان یک مکانیسم فیلتر کردن و هدایت برای تشخیص و تعیین قربانیان پتانسیلی علاقه‌مند است. بازدیدکنندگانی که به معیارها (به عنوان مثال، درخواست‌های مبتنی بر محیط‌های شناور) نمی‌پردازند، به وب‌سایت معتبر Webex هدایت می‌شوند.

“زیرا تبلیغات به نظر می‌آید به طور کاملاً معتبر نمایانده شده‌اند، کمتر شکی در مورد این وجود دارد که مردم روی آن‌ها کلیک کرده و به وب‌سایت‌های ناامن مراجعه می‌کنند”، ژروم سگورا، مدیر اطلاعات تهدید در Malwarebytes، گفت.

“نوع نرم‌افزاری که در این تبلیغات استفاده می‌شود، نشان می‌دهد که فاعلان تهدید علاقه به قربانیان شرکتی دارند که اطلاعات احتمالی برای انجام آزمون شبکه و در برخی موارد، اجرای باج افزار را ارائه می‌دهند.”