هکرهای مظنون به تابعیت کشور روسیه، کاربران اروپای شرقی در صنعت کریپتو را با فرصت های شغلی جعلی به عنوان طعمه ای برای نصب بدافزار سرقت اطلاعات بر روی هاست های در معرض خطر هدف قرار داده اند.
علی اکبر زهراوی و پیتر گیرنوس، محققین Trend Micro، در گزارشی در این هفته گفتند که مهاجمان «از چندین loader سفارشی بسیار مبهم و در حال توسعه استفاده میکنند تا افراد درگیر در صنعت ارزهای دیجیتال را به RAT انیگما آلوده کنند».
گفته می شود Enigma نسخه تغییر یافته Stealerium است، یک بدافزار منبع باز مبتنی بر C# که به عنوان دزد و keylogger عمل می کند.
سفر پیچیده آلوده شدن با یک فایل بایگانی RAR شروع می شود که از طریق فیشینگ یا پلتفرم های رسانه های اجتماعی توزیع می شود. این شامل دو سند است که یکی از آنها یک فایل TXT است که شامل مجموعه ای از نمونه سوالات مصاحبه مربوط به ارز دیجیتال است.
فایل دوم یک سند مایکروسافت ورد است که در حالی که به عنوان یک فریب عمل می کند، وظیفه راه اندازی مرحله اول انیگما لودر را بر عهده دارد که به نوبه خود، یک پی لود مرحله دوم مبهم را از طریق تلگرام دانلود و اجرا می کند.
محققان میگویند: «برای دانلود مرحله بعدی، بدافزار ابتدا درخواستی را به کانال تلگرامی که توسط مهاجم کنترل میشود ارسال میکند تا مسیر فایل را دریافت کند.» "این رویکرد به مهاجم اجازه می دهد تا به طور مداوم به روز شود و اتکا به نام فایل های ثابت را از بین می برد."
دانلود کننده مرحله دوم که با امتیازات بالا اجرا می شود، برای غیرفعال کردن Microsoft Defender و نصب مرحله سوم با استقرار درایور اینتل در حالت هسته امضا شده قانونی طراحی شده است که در معرض CVE-2015-2291 در تکنیکی به نام Bring Your Own Vulnerable است.
شایان ذکر است که آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) با استناد به شواهدی مبنی بر بهره برداری فعال از این آسیب پذیری آنرا را به فهرست آسیب پذیری های شناخته شده (KEV) اضافه کرده است.
مرحله سوم در نهایت راه را برای دانلود Enigma Stealer از یک کانال تلگرامی تحت کنترل بازیگر هموار می کند. این بدافزار، مانند سارقان دیگر، دارای ویژگیهایی برای جمعآوری اطلاعات حساس، ضبط ضربههای کلید و گرفتن اسکرینشات است که همگی از طریق تلگرام استخراج میشوند.
پیشنهادهای شغلی جعلی یک تاکتیک آزمایش شده است که توسط گروه لازاروس تحت حمایت کره شمالی در حملات خود که بخش کریپتو را هدف قرار می دهد، به کار گرفته شده است. اتخاذ این شیوه عملیاتی توسط بازیگران تهدید روسی نشان از سودآور بودن این روش است."
این یافتهها زمانی به دست آمد که Uptycs جزئیات یک کمپین حمله را منتشر کرد که از بدافزار Stealerium برای حذف دادههای شخصی، از جمله اعتبار کیف پولهای ارزهای دیجیتال مانند Armory، Atomic Wallet، Coinomi، Electrum، Exodus، Guarda، Jaxx Liberty و Zcash و غیره استفاده میکند.
Cyble در گزارشی فنی گفت که پیوستن به Enigma Stealer و Stealerium در هدف قرار دادن کیف پولهای رمزنگاری شده، بدافزار دیگری به نام Vector Stealer است که دارای قابلیتهایی برای سرقت فایلهای RDP است.
زنجیرههای حملات مستند شده توسط شرکتهای امنیت سایبری نشان میدهد که خانوادههای بدافزار از طریق پیوستهای مایکروسافت آفیس حاوی ماکروهای مخرب ارائه میشوند، که نشان میدهد با وجود تلاشهای مایکروسافت برای بستن این شکاف، هکرها همچنان به این روش متکی هستند.
به گفته آزمایشگاه Fortinet FortiGuard، روش مشابهی نیز برای استقرار یک ماینر رمزنگاری مونرو در پس زمینه یک کمپین سرقت رمزنگاری و فیشینگ با هدف کاربران اسپانیایی استفاده شده است.
این توسعه همچنین آخرین مورد از لیست طولانی حملاتی است که با هدف سرقت دارایی های رمزنگاری قربانیان در سراسر سیستم عامل ها انجام می شود.
این شامل یک تروجان بانکی اندروید "به سرعت در حال تکامل" به نام TgToxic است که اعتبار و وجوه را از کیف پول های رمزنگاری و همچنین برنامه های بانکی و مالی غارت می کند. کمپین بدافزار در حال انجام که از ژوئیه 2022 فعال است، علیه کاربران تلفن همراه در تایوان، تایلند و اندونزی است.
زمانی که قربانی برنامه جعلی را از وبسایتی که عامل تهدید ارائه کرده است دانلود میکند، یا اگر قربانی بخواهد از طریق برنامههای پیامرسانی مانند واتساپ یا وایبر، پیامی مستقیم به عامل تهدید ارسال کند، مجرم سایبری کاربر را فریب میدهد تا ثبت نام کند و بدافزار را نصب کند.
برنامههای مخرب، علاوه بر سوء استفاده از خدمات دسترسی اندروید برای انجام نقل و انتقالات غیرمجاز، به دلیل بهرهگیری از چارچوبهای اتوماسیون قانونی مانند Easyclick و Auto.js برای انجام کلیکها و ژستها نیز قابل توجه هستند و آن را به دومین بدافزار اندرویدی پس از PixPirate تبدیل میکنند که چنین مواردی را در خود جای داده است.
اما کمپینهای مهندسی اجتماعی با راهاندازی صفحات فرود متقاعدکنندهای که از سرویسهای رمزنگاری محبوب تقلید میکنند با هدف انتقال اتریوم و NFT از کیفهای هکشده، فراتر از فیشینگ و ضربه زدن به رسانههای اجتماعی رفتهاند.
علی اکبر زهراوی و پیتر گیرنوس، محققین Trend Micro، در گزارشی در این هفته گفتند که مهاجمان «از چندین loader سفارشی بسیار مبهم و در حال توسعه استفاده میکنند تا افراد درگیر در صنعت ارزهای دیجیتال را به RAT انیگما آلوده کنند».
گفته می شود Enigma نسخه تغییر یافته Stealerium است، یک بدافزار منبع باز مبتنی بر C# که به عنوان دزد و keylogger عمل می کند.
سفر پیچیده آلوده شدن با یک فایل بایگانی RAR شروع می شود که از طریق فیشینگ یا پلتفرم های رسانه های اجتماعی توزیع می شود. این شامل دو سند است که یکی از آنها یک فایل TXT است که شامل مجموعه ای از نمونه سوالات مصاحبه مربوط به ارز دیجیتال است.
فایل دوم یک سند مایکروسافت ورد است که در حالی که به عنوان یک فریب عمل می کند، وظیفه راه اندازی مرحله اول انیگما لودر را بر عهده دارد که به نوبه خود، یک پی لود مرحله دوم مبهم را از طریق تلگرام دانلود و اجرا می کند.
محققان میگویند: «برای دانلود مرحله بعدی، بدافزار ابتدا درخواستی را به کانال تلگرامی که توسط مهاجم کنترل میشود ارسال میکند تا مسیر فایل را دریافت کند.» "این رویکرد به مهاجم اجازه می دهد تا به طور مداوم به روز شود و اتکا به نام فایل های ثابت را از بین می برد."
دانلود کننده مرحله دوم که با امتیازات بالا اجرا می شود، برای غیرفعال کردن Microsoft Defender و نصب مرحله سوم با استقرار درایور اینتل در حالت هسته امضا شده قانونی طراحی شده است که در معرض CVE-2015-2291 در تکنیکی به نام Bring Your Own Vulnerable است.
شایان ذکر است که آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) با استناد به شواهدی مبنی بر بهره برداری فعال از این آسیب پذیری آنرا را به فهرست آسیب پذیری های شناخته شده (KEV) اضافه کرده است.
مرحله سوم در نهایت راه را برای دانلود Enigma Stealer از یک کانال تلگرامی تحت کنترل بازیگر هموار می کند. این بدافزار، مانند سارقان دیگر، دارای ویژگیهایی برای جمعآوری اطلاعات حساس، ضبط ضربههای کلید و گرفتن اسکرینشات است که همگی از طریق تلگرام استخراج میشوند.
پیشنهادهای شغلی جعلی یک تاکتیک آزمایش شده است که توسط گروه لازاروس تحت حمایت کره شمالی در حملات خود که بخش کریپتو را هدف قرار می دهد، به کار گرفته شده است. اتخاذ این شیوه عملیاتی توسط بازیگران تهدید روسی نشان از سودآور بودن این روش است."
این یافتهها زمانی به دست آمد که Uptycs جزئیات یک کمپین حمله را منتشر کرد که از بدافزار Stealerium برای حذف دادههای شخصی، از جمله اعتبار کیف پولهای ارزهای دیجیتال مانند Armory، Atomic Wallet، Coinomi، Electrum، Exodus، Guarda، Jaxx Liberty و Zcash و غیره استفاده میکند.
Cyble در گزارشی فنی گفت که پیوستن به Enigma Stealer و Stealerium در هدف قرار دادن کیف پولهای رمزنگاری شده، بدافزار دیگری به نام Vector Stealer است که دارای قابلیتهایی برای سرقت فایلهای RDP است.
زنجیرههای حملات مستند شده توسط شرکتهای امنیت سایبری نشان میدهد که خانوادههای بدافزار از طریق پیوستهای مایکروسافت آفیس حاوی ماکروهای مخرب ارائه میشوند، که نشان میدهد با وجود تلاشهای مایکروسافت برای بستن این شکاف، هکرها همچنان به این روش متکی هستند.
به گفته آزمایشگاه Fortinet FortiGuard، روش مشابهی نیز برای استقرار یک ماینر رمزنگاری مونرو در پس زمینه یک کمپین سرقت رمزنگاری و فیشینگ با هدف کاربران اسپانیایی استفاده شده است.
این توسعه همچنین آخرین مورد از لیست طولانی حملاتی است که با هدف سرقت دارایی های رمزنگاری قربانیان در سراسر سیستم عامل ها انجام می شود.
این شامل یک تروجان بانکی اندروید "به سرعت در حال تکامل" به نام TgToxic است که اعتبار و وجوه را از کیف پول های رمزنگاری و همچنین برنامه های بانکی و مالی غارت می کند. کمپین بدافزار در حال انجام که از ژوئیه 2022 فعال است، علیه کاربران تلفن همراه در تایوان، تایلند و اندونزی است.
زمانی که قربانی برنامه جعلی را از وبسایتی که عامل تهدید ارائه کرده است دانلود میکند، یا اگر قربانی بخواهد از طریق برنامههای پیامرسانی مانند واتساپ یا وایبر، پیامی مستقیم به عامل تهدید ارسال کند، مجرم سایبری کاربر را فریب میدهد تا ثبت نام کند و بدافزار را نصب کند.
برنامههای مخرب، علاوه بر سوء استفاده از خدمات دسترسی اندروید برای انجام نقل و انتقالات غیرمجاز، به دلیل بهرهگیری از چارچوبهای اتوماسیون قانونی مانند Easyclick و Auto.js برای انجام کلیکها و ژستها نیز قابل توجه هستند و آن را به دومین بدافزار اندرویدی پس از PixPirate تبدیل میکنند که چنین مواردی را در خود جای داده است.
اما کمپینهای مهندسی اجتماعی با راهاندازی صفحات فرود متقاعدکنندهای که از سرویسهای رمزنگاری محبوب تقلید میکنند با هدف انتقال اتریوم و NFT از کیفهای هکشده، فراتر از فیشینگ و ضربه زدن به رسانههای اجتماعی رفتهاند.