باج افزار جدید از قابلیت بازیابی فایلها سواستفاده میکند
هکرها روش جدیدی برای انتشار بدافزارها طراحی کردهاند. فایلهای خراب یا آسیبدیدهای که نرمافزارهای آنتیویروس قادر به شناسایی آنها نیستند و زمانی که قربانیان تلاش میکنند این فایلها را بازیابی کنند، سیستمهای آنها را آلوده میکنند. به گزارش سرویس اخبار امنیت رسانه خبری تکنا، شرکت ANYRUN، ارائهدهنده خدمات اطلاعات تهدیدات سایبری که یک محیط شبیهسازی […]
هکرها روش جدیدی برای انتشار بدافزارها طراحی کردهاند. فایلهای خراب یا آسیبدیدهای که نرمافزارهای آنتیویروس قادر به شناسایی آنها نیستند و زمانی که قربانیان تلاش میکنند این فایلها را بازیابی کنند، سیستمهای آنها را آلوده میکنند.
به گزارش سرویس اخبار امنیت رسانه خبری تکنا، شرکت ANYRUN، ارائهدهنده خدمات اطلاعات تهدیدات سایبری که یک محیط شبیهسازی تعاملی برای تحلیل بدافزارها دارد، هشدار داده است که ممکن است این روش جدید در دنیای واقعی بهعنوان یک حمله روز صفر مورد سوءاستفاده قرار گیرد. مهاجمان از طریق ایمیلهای فیشینگ، آرشیوهای خراب ZIP یا فایلهای MS Office آلوده را ارسال میکنند. این فایلها زمانی که کاربر تلاش میکند آنها را بازیابی کند، اجرا میشوند.
چگونه حمله انجام میشود؟
وقتی یک سند خراب DOCX ممکن است در نرمافزار Word باز نشود، اما برنامه پیامی به این مضمون نمایش میدهد: “آیا میخواهید محتوای این سند را بازیابی کنید؟”
اگر کاربر گزینه “بله” را انتخاب کند، نرمافزار Word فایل مخرب را بازسازی و پردازش میکند.
این روش باعث میشود تا فایلهای مخرب از شناسایی توسط آنتیویروسها و همچنین فیلترهای هرزنامه در Outlook عبور کرده و به صندوق ورودی کاربران برسند. این فایلها تنها در حالت بازیابی توسط برنامههای مربوطه اجرا میشوند.
شرکت ANY.RUN در پلتفرم X توضیح داد: مهاجمان تلاش میکنند نوع فایل را با خراب کردن عمدی آن پنهان کنند، که این کار باعث میشود برخی از ابزارهای امنیتی نتوانند فایل را شناسایی کنند.
با اینکه این فایلها خراب و آسیبدیده به نظر میرسند، همچنان برای ابزارهای امنیتی غیرقابل شناسایی باقی میمانند، اما برنامههای کاربری به دلیل سازوکارهای داخلی بازیابی، بدون مشکل آنها را پردازش میکنند.
شکست ابزارهای امنیتی
هیچکدام از ۶۰ ارائهدهنده امنیتی که فایلهای مشکوک را در پلتفرم VirusTotal تحلیل کردند، این فایلها را بهعنوان بدافزار شناسایی نکردند. زمانی که فایلهای خراب به ابزارهای امنیتی ارائه میشوند، این ابزارها فرض میکنند که باید محتوای فایل (مثلاً فایلهای درون آرشیو) را اسکن کنند، اما به دلیل عدم توانایی در استخراج محتوا، اسکن آغاز نمیشود و فایل آلوده نادیده گرفته میشود.
محققان توضیح دادهاند: «مهاجمان از مکانیسمهای بازیابی فایلهای ‘آسیبدیده’ بهگونهای سوءاستفاده میکنند که برنامههای مربوطه مانند Microsoft Word، Outlook یا WinRAR که دارای فرایندهای بازیابی داخلی هستند، این فایلها را بدون مشکل مدیریت میکنند.»
یک نمونه از حمله
در یک مثال ارائهشده، مهاجمان از یک ایمیل فیشینگ استفاده کردند که وانمود میکرد از طرف بخش منابع انسانی ارسال شده است و موضوع ایمیل به افزایش احتمالی حقوق اشاره داشت. فایل مخرب پیوستشده یک سند Word خراب بود که پس از بازیابی، کاربران را ترغیب میکرد تا یک کد QR مخرب را اسکن کنند. این کد کاربران را به دامنهای مخرب هدایت میکرد.
تاکتیکی برای سرقت اطلاعات حساس
این روش بهطور گسترده برای انتشار ابزارهای سرقت اطلاعات (infostealers) استفاده میشود. این ابزارها میتوانند اطلاعاتی مانند نام کاربری و رمز عبور، کیف پولهای رمز ارز، اطلاعات کارتهای اعتباری و دیگر دادههای حساس را سرقت کنند.
محققان ANY.RUN هشدار دادهاند که این روش جدید حمله حداقل از چند ماه پیش مورد استفاده قرار گرفته است و نخستین موارد مشاهدهشده به آگوست سال جاری بازمیگردد. این تاکتیک جدید چالشی جدی برای کاربران و شرکتهای امنیت سایبری ایجاد کرده و نشاندهنده ضرورت افزایش آگاهی و تقویت ابزارهای امنیتی است.
ارسال دیدگاه
مجموع دیدگاهها : 0در انتظار بررسی : 0انتشار یافته : ۰