متن خبر

هکرها از تبلیغات گوگل برای انتشار بدافزار FatalRAT استفاده می کنند که به عنوان برنامه های محبوب پنهان شده اند.

هکرها از تبلیغات گوگل برای انتشار بدافزار FatalRAT استفاده می کنند که به عنوان برنامه های محبوب پنهان شده اند.

اخبارهکرها از تبلیغات گوگل برای انتشار بدافزار FatalRAT استفاده می کنند که به عنوان برنامه های محبوب پنهان شده اند.
شناسهٔ خبر: 267341 -




خبرکاو:

16 فوریه 2023 کلاهبرداری تبلیغاتی / بدافزار Ravie Lakshmanan

FatalRAT Malware

افراد چینی زبان در جنوب شرقی و شرق آسیا هدف کمپین جدید تبلیغات گوگل هستند که تروجان های دسترسی از راه دور مانند FatalRAT را به ماشین های در معرض خطر ارائه می دهد.

ESET در گزارشی که امروز منتشر شد، بيان کرد که این حملات شامل خرید اسلات تبلیغاتی برای نمایش در نتایج جستجوی گوگل است که کاربرانی را که در جستجوی برنامه های محبوب هستند به وب سایت های سرکشی که نصب کننده های تروجانی شده را میزبانی می کنند هدایت می کند. از آن زمان تبلیغات حذف شده است.

برخی از برنامه های جعلی عبارتند از Google Chrome، Mozilla Firefox، Telegram، WhatsApp، LINE، Signal، Skype، Electrum، Sogou Pinyin Method، Youdao و WPS Office.

این شرکت امنیت سایبری اسلواکی گفت: «وب سایت‌ها و نصب‌کننده‌های دانلود شده از آنها بیشتر به زبان چینی هستند و در برخی موارد به دروغ نسخه‌های چینی زبان نرم‌افزاری را ارائه می‌دهند که در چین موجود نیست.

اکثر قربانیان در تایوان، چین و هنگ کنگ و پس از آن مالزی، ژاپن، فیلیپین، تایلند، سنگاپور، اندونزی و میانمار قرار دارند.

اصلی ترین جنبه حملات، ایجاد وب‌سایت‌های مشابه با دامنه‌های typosquatted برای انتشار نصب‌کننده مخرب است، که در تلاش برای حفظ حقه، نرم‌افزار قانونی را نصب می‌کند، اما بارگیری را نیز رها می‌کند که FatalRAT را مستقر می‌کند.

با انجام این کار، به مهاجم کنترل کامل رایانه قربانی را می دهد، از جمله اجرای دستورات پوسته دلخواه، اجرای فایل ها، جمع آوری داده ها از مرورگرهای وب، و گرفتن کلید.

محققان می‌گویند: مهاجمان تلاش‌هایی را در مورد نام‌های دامنه مورد استفاده برای وب‌سایت‌های خود انجام داده‌اند و سعی کرده‌اند تا حد امکان مشابه نام‌های رسمی باشند. وب‌سایت‌های جعلی، در بیشتر موارد، کپی‌های یکسانی از سایت‌های قانونی هستند.»

FatalRAT Malware

این یافته‌ها کمتر از یک سال پس از افشای کمپین Purple Fox توسط Trend Micro به دست آمد که از بسته‌های نرم‌افزاری آسیب‌دیده Adobe، Google Chrome، Telegram و WhatsApp به عنوان بردار ورود برای انتشار FatalRAT استفاده می‌ کرد.

آنها همچنین در بحبوحه سوء استفاده گسترده تر از Google Ads برای ارائه طیف گسترده ای از بدافزارها، یا به طور متناوب، بردن کاربران به صفحات فیشینگ اعتبار وارد می شوند.

در یک توسعه مرتبط، تیم شکارچی تهدید سیمانتک، کمپین بدافزار دیگری را که نهادهای موجود در تایوان را با یک ایمپلنت مبتنی بر دات نت که قبلاً مستند نشده بود به نام Frebniis را هدف قرار می‌دهد.

سیمانتک گفت: «تکنیک استفاده شده توسط Frebniis شامل تزریق کد مخرب به حافظه یک فایل DLL (iisfreb.dll) مربوط به یک ویژگی IIS است که برای عیب‌یابی و تجزیه و تحلیل درخواست‌های صفحه وب ناموفق استفاده می‌شود.

این به بدافزار اجازه می‌دهد تا به طور مخفیانه تمام درخواست‌های HTTP را کنترل کند و درخواست‌های HTTP فرمت‌بندی‌شده ویژه‌ای را که توسط مهاجم ارسال می‌شود شناسایی کند و امکان اجرای کد از راه دور را فراهم کند.

این شرکت امنیت سایبری که این نفوذ را به یک بازیگر ناشناس نسبت داده است، بيان کرد که در حال حاضر مشخص نیست که چگونه به دستگاه ویندوزی که سرور سرویس‌های اطلاعات اینترنتی (IIS) را اجرا می‌کند، دسترسی پیدا کرده است.


این مقاله جالب بود؟ ما را در توییتر و لینکدین دنبال کنید تا محتوای اختصاصی بیشتری را که پست می کنیم بخوانید.

خبرکاو

برچسب‌ها

ارسال نظر




تبليغات ايهنا تبليغات ايهنا

تمامی حقوق مادی و معنوی این سایت متعلق به خبرکاو است و استفاده از مطالب با ذکر منبع بلامانع است