در حالی که چشمانداز تهدیدات سایبری روز به روز پیچیدهتر میشود، باجافزار جدیدی به نام Interlock با استفاده از تکنیک مهندسی اجتماعی ClickFix توانسته است سیستمهای ویندوزی را هدف قرار دهد و دستورات مخربی را بر روی آنها اجرا کند.
این باجافزار نشاندهنده پیشرفتی نگرانکننده در روشهای استقرار باجافزارهاست؛ ترکیبی از فیشینگ سنتی و مکانیزمهای تحویل بار چندمرحلهای پیشرفته.
حملات از کجا شروع شد؟
باجافزار Interlock از سپتامبر ۲۰۲۴ بهطور فعال سازمانهایی در آمریکای شمالی و اروپا را هدف قرار داده است. این گروه تهدید با رویکرد دوگانهی اخاذی (double extortion) فعالیت میکند؛ ابتدا اطلاعات قربانی را رمزگذاری کرده و سپس تهدید به افشای آن میکند.
تحلیلگران شرکت eSentire در جولای ۲۰۲۵ چندین حمله پیچیده از سوی این گروه را شناسایی کردند که نشاندهنده رشد و توسعه فنی آنهاست. زنجیره حمله شامل اسکریپتهای PowerShell، backdoorهای PHP و ابزارهای کنترل از راه دور سفارشیشده است.
.webp)
روند حمله چگونه است؟
-
قربانی بهطور ناخواسته وارد یک وبسایت آلوده میشود که از زنجیره نفوذ KongTuke استفاده میکند.
-
این وبسایت قربانی را به صفحه جعلی ClickFix هدایت میکند که در ظاهر پیغامهای خطا یا اعلانهای سیستمی مشروع نمایش میدهد.
-
قربانی با تصور رفع مشکل، دستورات PowerShell را کپی و اجرا میکند.
-
.webp)
روش ماندگاری (Persistence)-
بدافزار برای ماندگاری از شورتکاتهای قرار گرفته در پوشه Startup ویندوز استفاده میکند.
-
مولفهای به نام c2.exe از طریق تابع
CreateProcessWدر Windows API اقدام به اجرای PowerShellهای جدید میکند. -
در این حین، پیامهای خطای جعلی برای فریب کاربر نمایش داده میشود.
-
همچنین استفاده از باینریهای مشروع ویندوز مانند
rundll32.exeبرای پنهانسازی فعالیتهای مخرب به کار رفته است. .webp)
نتیجهگیری
باجافزار Interlock نه تنها با استفاده از تکنیک ClickFix مهندسی اجتماعی را وارد مرحله جدیدی کرده، بلکه با حمله چندلایه، obfuscation حرفهای، شناسایی دقیق سیستم هدف، و پنهانسازی هوشمندانه، به یکی از پیشرفتهترین تهدیدات سایبری سالهای اخیر تبدیل شده است.
-
یک نظر