محققان امنیت سایبری یک کمپین مخرب جدید را افشا کردهاند که از یک وبسایت جعلی که نرمافزار آنتیویروس Bitdefender را تبلیغ میکند، برای فریب قربانیان جهت دانلود یک تروجان دسترسی از راه دور به نام Venom RAT استفاده میکند.
تیم DomainTools Intelligence (DTI) در گزارش جدیدی که با The Hacker News به اشتراک گذاشته است، اعلام کرد[۱] که این کمپین «قصد آشکاری برای هدف قرار دادن افراد برای کسب سود مالی با به خطر انداختن اعتبارنامهها، کیف پولهای رمزنگاریشده و احتمالاً فروش دسترسی به سیستمهای آنها» را نشان میدهد.
وبسایت موردنظر، “bitdefender-download[.]com”، بازدیدکنندگان سایت را برای دانلود نسخه ویندوز نرمافزار آنتیویروس تبلیغ میکند. کلیک روی دکمه برجسته “دانلود برای ویندوز”، دانلود فایل از مخزن Bitbucket را آغاز میکند که به یک مخزن Amazon S3 هدایت میشود. حساب Bitbucket دیگر فعال نیست.
فایل فشرده (“BitDefender.zip”) حاوی یک فایل اجرایی به نام “StoreInstaller.exe” است که شامل پیکربندیهای بدافزار مرتبط با Venom RAT و همچنین کد مربوط به چارچوب پس از بهرهبرداری متنباز SilentTrinity و [۲]StormKitty stealer است.
Venom RAT[3] شاخهای از Quasar RAT است که قابلیتهایی برای جمعآوری دادهها و ارائه دسترسی از راه دور مداوم به مهاجمان دارد.
DomainTools اعلام کرد که وبسایت طعمه که خود را بهعنوان Bitdefender جا میزند، همپوشانیهای زمانی و زیرساختی را با سایر دامنههای مخرب به اشتراک میگذارد که بانکها و سرویسهای فناوری اطلاعات عمومی را که بهعنوان بخشی از فعالیتهای فیشینگ برای جمعآوری اعتبارنامههای ورود به سیستم مرتبط با بانک سلطنتی کانادا و مایکروسافت استفاده شدهاند، جعل میکنند.
این شرکت اعلام کرد: “این ابزارها بهطور هماهنگ کار میکنند: Venom RAT مخفیانه وارد میشود، StormKitty رمزهای عبور و اطلاعات کیف پول دیجیتال شما را میگیرد و SilentTrinity تضمین میکند که مهاجم میتواند پنهان بماند و کنترل را حفظ کند.”
این کمپین یک روند ثابت را برجسته میکند: مهاجمان از بدافزارهای پیچیده و ماژولار ساختهشده از اجزای متنباز استفاده میکنند. این رویکرد «بدافزار خود را بسازید» این حملات را کارآمدتر، مخفیانهتر و سازگارتر میکند.
این افشاگری در حالی صورت میگیرد که Sucuri در مورد یک کمپین به سبک [۴]ClickFix هشدار داده است که از صفحات جعلی Google Meet برای فریب کاربران جهت نصب noanti-vm.bat RAT، یک اسکریپت دستهای ویندوز بهشدت مبهم که کنترل از راه دور رایانه قربانی را اعطا میکند، استفاده میکند.
پوجا سریواستاوا، محقق امنیتی، گفت[۵]: «این صفحه جعلی Google Meet فرم ورود به سیستمی برای سرقت مستقیم اعتبارنامهها ارائه نمیدهد. در عوض، از یک تاکتیک مهندسی اجتماعی استفاده میکند و یک خطای جعلی «اجازه میکروفون رد شد» را ارائه میدهد و از کاربر میخواهد که یک دستور PowerShell خاص را بهعنوان «رفع مشکل» کپی و پیست کند.»
همچنین این امر به دنبال افزایش حملات فیشینگ است که از پلتفرم توسعه بدون کد AppSheet گوگل برای راهاندازی یک کمپین بسیار هدفمند و پیچیده با جعل هویت Meta استفاده میکنند.
آزمایشگاه تهدید KnowBe4 در گزارشی اعلام کرد[۶]: «مهاجمان با استفاده از تاکتیکهای پیشرفته مانند شناسههای چندریختی، مکانیسمهای پیشرفته پروکسی مرد میانی و تکنیکهای دور زدن احراز هویت چندعاملی، قصد دارند اعتبارنامهها و کدهای احراز هویت دوعاملی (۲FA) را جمعآوری کنند و دسترسی بلادرنگ به حسابهای رسانههای اجتماعی را امکانپذیر سازند.»
این کمپین شامل استفاده از AppSheet برای ارسال ایمیلهای فیشینگ در مقیاس بزرگ است و به بازیگران تهدید اجازه میدهد تا به دلیل اینکه پیامها از یک دامنه معتبر (“noreply@appsheet[.]com”) سرچشمه میگیرند، از دفاعهای امنیتی ایمیل مانند SPF، DKIM و DMARC عبور کنند.
علاوه بر این، ایمیلها ادعا میکنند که از پشتیبانی فیسبوک هستند و از هشدارهای حذف حساب استفاده میکنند تا کاربران را به بهانه ارسال درخواست تجدیدنظر در یک دوره زمانی ۲۴ ساعته، برای کلیک روی لینکهای جعلی فریب دهند. این لینکهای تله گذاری شده، قربانیان را به یک صفحه فیشینگ مهاجم در میانه (AitM) هدایت میکنند که برای جمعآوری اطلاعات احراز هویت و کدهای احراز هویت دومرحلهای (۲FA) آنها طراحی شده است.
این شرکت اعلام کرد: «برای جلوگیری بیشتر از شناسایی و پیچیدهتر کردن روند اصلاح، مهاجمان از قابلیت AppSheets برای تولید شناسههای منحصربهفرد، که بهعنوان شناسههای موردی در بدنه ایمیل نشان داده میشوند، استفاده میکنند.»
«وجود شناسههای چندریختی منحصربهفرد در هر ایمیل فیشینگ، تضمین میکند که هر پیام کمی متفاوت است و به آنها کمک میکند تا سیستمهای تشخیص سنتی که به شاخصهای استاتیک مانند هشها یا URLهای مخرب شناختهشده متکی هستند را دور بزنند.»
منابع[۱] https://dti.domaintools.com/VenomRAT
[۲] https://thehackernews.com/2023/03/new-macstealer-macos-malware-steals.html
[۳] https://thehackernews.com/2024/04/massive-phishing-campaign-strikes-latin.html
[۴] https://thehackernews.com/2025/05/hackers-use-tiktok-videos-to-distribute.html
[۵] https://blog.sucuri.net/2025/05/fake-google-meet-page-tricks-users-into-running-powershell-malware.html
[۶] https://blog.knowbe4.com/impersonating-meta-powered-by-appsheet-a-rising-phishing-campaign-exploits-trusted-platforms-to-evade-detection
[۷] https://thehackernews.com/2025/05/cybercriminals-clone-antivirus-site-to_4.html
ثبت ديدگاه