خبرکاو:

بازیگران مظنون تهدید روسیه، کاربران اروپای شرقی در صنعت کریپتو را با فرصت های شغلی جعلی به عنوان طعمه ای برای نصب بدافزار سرقت اطلاعات بر روی هاست های در معرض خطر هدف قرار داده اند.

علی اکبر زهراوی و پیتر گیرنوس، محققین Trend Micro، در گزارشی در این هفته گفتند که مهاجمان «از چندین بارکننده سفارشی بسیار مبهم و در حال توسعه استفاده می‌کنند تا افراد درگیر در صنعت ارزهای دیجیتال را به دزد انیگما آلوده کنند».

گفته می شود Enigma نسخه تغییر یافته Stealerium است، یک بدافزار منبع باز مبتنی بر C# که به عنوان دزد، برش و keylogger عمل می کند.

سفر پیچیده عفونت با یک فایل بایگانی RAR سرکش شروع می شود که از طریق فیشینگ یا پلتفرم های رسانه های اجتماعی توزیع می شود. این شامل دو سند است که یکی از آنها یک فایل TXT است که شامل مجموعه ای از نمونه سوالات مصاحبه مربوط به ارز دیجیتال است.

فایل دوم یک سند مایکروسافت ورد است که در حالی که به عنوان یک فریب عمل می کند، وظیفه راه اندازی مرحله اول انیگما لودر را بر عهده دارد که به نوبه خود، یک پی لود مرحله دوم مبهم را از طریق تلگرام دانلود و اجرا می کند.

محققان می‌گویند: «برای دانلود مرحله بعدی، بدافزار ابتدا درخواستی را به کانال تلگرامی [...] که توسط مهاجم کنترل می‌شود ارسال می‌کند تا مسیر فایل را دریافت کند.» "این رویکرد به مهاجم اجازه می دهد تا به طور مداوم به روز شود و اتکا به نام فایل های ثابت را از بین می برد."

دانلود کننده مرحله دوم که با امتیازات بالا اجرا می شود، برای غیرفعال کردن Microsoft Defender و نصب مرحله سوم با استقرار درایور اینتل در حالت هسته امضا شده قانونی طراحی شده است که در معرض CVE-2015-2291 در تکنیکی به نام Bring Your Own Vulnerable است. راننده (BYOVD).

شایان ذکر است که آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) با استناد به شواهدی مبنی بر بهره برداری فعال در طبیعت، این آسیب پذیری را به کاتالوگ آسیب پذیری های شناخته شده مورد بهره برداری (KEV) اضافه کرد.

مرحله سوم در نهایت راه را برای دانلود Enigma Stealer از یک کانال تلگرامی تحت کنترل بازیگر هموار می کند. این بدافزار، مانند سارقان دیگر، دارای ویژگی‌هایی برای جمع‌آوری اطلاعات حساس، ضبط ضربه‌های کلید و گرفتن اسکرین‌شات است که همگی از طریق تلگرام استخراج می‌شوند.

پیشنهادهای شغلی جعلی یک تاکتیک آزمایش شده است که توسط گروه لازاروس تحت حمایت کره شمالی در حملات خود که بخش کریپتو را هدف قرار می دهد، به کار گرفته شده است. اتخاذ این شیوه عملیاتی توسط بازیگران تهدید روسی "بردار حمله مداوم و سودآور را نشان می دهد."

این یافته‌ها زمانی به دست آمد که Uptycs جزئیات یک کمپین حمله را منتشر کرد که از بدافزار Stealerium برای حذف داده‌های شخصی، از جمله اعتبار کیف پول‌های ارزهای دیجیتال مانند Armory، Atomic Wallet، Coinomi، Electrum، Exodus، Guarda، Jaxx Liberty و Zcash و غیره استفاده می‌کند.

Cyble در گزارشی فنی گفت که پیوستن به Enigma Stealer و Stealerium در هدف قرار دادن کیف پول‌های رمزنگاری شده، بدافزار دیگری به نام Vector Stealer است که دارای قابلیت‌هایی برای سرقت فایل‌های RDP است و به عوامل تهدید امکان می‌دهد تا RDP را برای دسترسی از راه دور انجام دهند.

زنجیره‌های حملات مستند شده توسط شرکت‌های امنیت سایبری نشان می‌دهد که خانواده‌های بدافزار از طریق پیوست‌های مایکروسافت آفیس حاوی ماکروهای مخرب ارائه می‌شوند، که نشان می‌دهد با وجود تلاش‌های مایکروسافت برای بستن این شکاف، افراد نابکار همچنان به روش متکی هستند.

به گفته آزمایشگاه Fortinet FortiGuard، روش مشابهی نیز برای استقرار یک ماینر رمزنگاری مونرو در پس زمینه یک کمپین سرقت رمزنگاری و فیشینگ با هدف کاربران اسپانیایی استفاده شده است.

دیگر اخبار

پشتیبانی از اندروید 13 به ویندوز 11 می‌آید

این توسعه همچنین آخرین مورد از لیست طولانی حملاتی است که با هدف سرقت دارایی های رمزنگاری قربانیان در سراسر سیستم عامل ها انجام می شود.

بیشتر بخوانید

مینگ چی کو: آیپد مینی هنوز از بین نمی رود، آی پد تاشو گران خواهد بود

این شامل یک تروجان بانکی اندروید "به سرعت در حال تکامل" به نام TgToxic است که اعتبار و وجوه را از کیف پول های رمزنگاری و همچنین برنامه های بانکی و مالی غارت می کند. کمپین بدافزار در حال انجام که از ژوئیه 2022 فعال است، علیه کاربران تلفن همراه در تایوان، تایلند و اندونزی است.

زمانی که قربانی برنامه جعلی را از وب‌سایتی که عامل تهدید ارائه کرده است دانلود می‌کند، یا اگر قربانی بخواهد از طریق برنامه‌های پیام‌رسانی مانند واتس‌اپ یا وایبر، پیامی مستقیم به عامل تهدید ارسال کند، مجرم سایبری کاربر را فریب می‌دهد تا ثبت نام کند و بدافزار را نصب کند. Trend Micro گفت، و مجوزهای مورد نیاز خود را فعال می کند.

برنامه های سرکش، علاوه بر سوء استفاده از خدمات دسترسی اندروید برای انجام انتقال غیرمجاز وجوه، به دلیل سوء استفاده از چارچوب های اتوماسیون قانونی مانند Easyclick و Auto.js برای انجام کلیک ها و ژست ها نیز قابل توجه هستند و آن را به دومین بدافزار اندرویدی پس از PixPirate تبدیل می کنند که چنین IDE های گردش کار را در خود جای داده است. .

اما کمپین‌های مهندسی اجتماعی با راه‌اندازی صفحات فرود متقاعدکننده‌ای که از سرویس‌های رمزنگاری محبوب تقلید می‌کنند با هدف انتقال اتریوم و NFT از کیف‌های هک‌شده، فراتر از فیشینگ و ضربه زدن به رسانه‌های اجتماعی رفته‌اند.

به گفته Recorded Future، این کار با تزریق یک اسکریپت تخلیه کننده رمزنگاری به صفحه فیشینگ انجام می شود که قربانیان را به اتصال کیف پول خود با پیشنهادات سودآور برای ضرب توکن های غیرقابل تعویض (NFT) سوق می دهد.

چنین صفحات فیشینگ آماده ای در انجمن های تاریک نت به عنوان بخشی از آنچه که فیشینگ به عنوان یک سرویس (PhaaS) نامیده می شود فروخته می شود و به سایر بازیگران اجازه می دهد این بسته ها را اجاره کنند و به سرعت عملیات مخرب را در مقیاس اجرا کنند.

این شرکت در گزارشی که هفته گذشته منتشر شد، گفت: "Cryptodrainers" اسکریپت های مخربی هستند که مانند اسکیمرهای الکترونیکی عمل می کنند و با تکنیک های فیشینگ برای سرقت دارایی های رمزنگاری قربانیان استفاده می شوند."

"استفاده از خدمات قانونی در صفحات فیشینگ تخلیه کننده رمزنگاری ممکن است این احتمال را افزایش دهد که صفحه فیشینگ از "آزمون تورنسل کلاهبرداری" کاربر باهوش عبور کند. هنگامی که کیف پول های رمزنگاری شده به خطر بیفتند، هیچ حفاظتی برای جلوگیری از انتقال غیرقانونی دارایی ها به کیف پول مهاجمان وجود ندارد."

این حملات در زمانی اتفاق می‌افتد که گروه‌های تبهکار رکوردشکنی 3.8 میلیارد دلاری را از کسب‌وکارهای رمزنگاری در سال 2022 به سرقت برده‌اند که بیشتر آن به گروه‌های هکری تحت حمایت دولت کره شمالی نسبت داده می‌شود.

این مقاله جالب بود؟ ما را در توییتر  و لینکدین دنبال کنید تا محتوای اختصاصی بیشتری را که پست می کنیم بخوانید.

خبرکاو