تهدیداتخبر

فیس‌بوک و یوتیوب قلب تپنده یک کمپین فیشینگ

پروفایل‌های فیس‌بوک و یوتیوب در قلب یک کمپین فیشینگ در حال گسترش قرار گرفته که تروجان اَستاروت Astaroth را پخش کرده، و به تدریج اطلاعات حساس را به سرقت می‌برد. این حمله به این دلیل پیچیده و پیشرفته است که از منابع معمولی قابل اعتماد به عنوان پوشش فعالیت‌های مخرب خود استفاده می‌کند – بنابراین از این امر معمولاً برای فرار کردن از لایه‌های امنیتی ایمیل و شبکه استفاده می‌شود.

به گفته آرون رایلی، محقق شرکت Cofense، حمله با پرونده HTM پیوست شده به یک ایمیل آغاز می‌شود. وی در تحلیل این حمله اظهار داشت که نامه‌های الکترونیکی در سه قالب ارایه می‌شوند – در قالب فاکتور، در قالب بلیط نمایش و در قالب دعوای مدنی.

اگر هدف روی پیوست کلیک کند، پرونده .HTM یک بایگانی ZIP. را که حاوی یک پرونده LNK. مخرب است، بارگیری می‌کند. سپس فایل .LNK کد جاوا اسکریپت را از دامنه یک کارمند Cloudflare بارگیری می‌کند، که به نوبه خود چندین فایل را که برای کمک به پنهان کردن و اجرای نمونه‌ای از دزدی اطلاعات Astaroth بارگیری می‌شود.

در بین پرونده‌های بارگیری شده، دو پرونده DLL. وجود دارد که به یکدیگر وصل شده و در یک برنامه قانونی با نام C:\Program Files\Internet Explorer\ ExtExport.exe بارگذاری شده‌اند. “استفاده از یک برنامه قانونی برای اجرای کد مخرب دو قسمتی که از یک منبع قابل اعتماد بارگیری شده است، به دور زدن اقدامات امنیتی مانند آنتی ویروس (AV)، لیست سفید برنامه‌ها و فیلتر URL کمک می‌کند.

پس از اجرای ExtExport.exe و بارگیری کد مخرب، اسکریپت از تکنیکی موسوم به “فرآیند توخالی” استفاده می‌کند تا یک برنامه قانونی را با کد‌های مخرب تر آلوده کند.

از فرآیند توخالی برای تزریق کدهای مخرب بازیابی شده از چندین فایل بارگیری شده توسط جاوا اسکریپت قبلی استفاده می‌شود. پس از خاتمه روند برنامه مورد اعتماد و جایگزین کردن کد مخرب،  Astaroth شروع به بازیابی داده های پیکربندی فرمان و کنترل (C2) از منابع قابل اعتماد خارج می‌کند.

این بد‌افزار به طور خاص، از پروفایل‌های یوتیوب و فیس‌بوک برای میزبانی و نگهداری داده های پیکربندی C2 استفاده می‌کند.

پس از اینکه اطلاعات C2 جمع آوری شد، Astroth که حداقل از سال ۲۰۱۷ اطلاعات حساس را سرقت می‌کند، اقدام به جمع آوری اطلاعات مالی، گذرواژه‌های ذخیره شده در مرورگر، اعتبار مشتری ایمیل، اعتبار SSH و موارد دیگر می‌کند، همه این موارد از طریق HTTPS POST به یک سایت میزبانی شده در Appspot، ارسال می‌شود.

این کمپین ویژه با ایمیل‌هایی که به زبان پرتغالی نوشته شده است، به طور انحصاری کاربران برزیلی‌ را هدف قرار می‌دهد.

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

7 + 20 =

دکمه بازگشت به بالا
0
YOUR CART
  • هیچ محصولی در سبدخرید نیست.