افراد چینیزبان در جنوب شرقی و شرق آسیا هدف کمپین تبلیغاتی گوگل هستند که تروجانهای دسترسی از راه دور مانند FatalRAT را به ماشینهای در معرض خطر ارائه میدهد.
ESET در گزارشی که ۱۶ فوریه ۲۰۲۳ منتشر شد، گفت که این حملات شامل خرید اسلات تبلیغاتی برای نمایش در نتایج جستجوی گوگل و هدایت کاربرانی که به دنبال برنامههای محبوب هستند به وبسایتهای سرکشی که نصب کنندههای تروجانی شده را میزبانی میکنند، میشود. این تبلیغات از آن زمان حذف شده است.
برخی از برنامههای جعلی عبارتاند از Google Chrome، Mozilla Firefox، Telegram، WhatsApp، LINE، Signal، Skype، Electrum، Sogou Pinyin Method، Youdao و WPS Office.
این شرکت امنیت سایبری در اسلواکی گفت[۱]: «وبسایتها و نصب کنندههایی که از آنها دانلود میشوند، بیشتر به زبان چینی هستند و در برخی موارد بهدروغ نسخههای زبان چینی نرمافزاری را ارائه میدهند که در چین موجود نیست.»
اکثر قربانیان در تایوان، چین و هنگکنگ و پسازآن مالزی، ژاپن، فیلیپین، تایلند، سنگاپور، اندونزی و میانمار قرار دارند. اهداف نهایی مهاجمان هنوز مشخص نیست.
مهمترین جنبه حملات، ایجاد وبسایتهای مشابه با دامنههای typosquatted برای انتشار نصب کننده مخرب است، که در تلاش برای حفظ حقه، نرمافزار قانونی را نصب میکند، اما loader را نیز رها میکند که FatalRAT را مستقر میکند.
با انجام این کار، به مهاجم کنترل کامل کامپیوتر قربانی را میدهد، ازجمله اجرای دستورات پوسته دلخواه، اجرای فایلها، جمعآوری دادهها از مرورگرهای وب، و ذخیره کردن کلیدهای فشردهشده توسط کیبورد.
محققان میگویند: «مهاجمان تلاشهایی را در مورد نامهای دامنه مورداستفاده برای وبسایتهای خود انجام دادهاند و سعی کردهاند تا حد امکان مشابه نامهای رسمی باشند. وبسایتهای جعلی، در بیشتر موارد، کپیهای یکسانی از سایتهای قانونی هستند.»
این یافتهها کمتر از یک سال پس از افشای[۲] کمپین Purple Fox توسط Trend Micro به دست آمد که از بستههای نرمافزاری آلوده تقلید از Adobe، Google Chrome، Telegram و WhatsApp بهعنوان بردار ورود برای انتشار FatalRAT استفاده میکرد.
Matías Porolli، محقق بدافزار در ESET، به The Hacker News گفت: «ما نمیتوانیم تأیید کنیم که آیا این دو تحقیق به هم مرتبط هستند یا خیر. درحالیکه برخی از شباهتها (استفاده از FatalRAT، استفاده از نصب کنندههای جعلی) وجود دارد، ما شباهتی در زنجیره اجزای مورداستفاده برای ارائه RAT یا زیرساخت مورداستفاده توسط مهاجمان پیدا نکردیم.
آنها همچنین در بحبوحه سوءاستفاده گستردهتر[۳] از Google Ads برای ارائه طیف گستردهای از بدافزارها، یا بهطور متناوب، بردن کاربران به صفحات فیشینگ هستند.
در یک توسعه مرتبط، سیمانتک، بخشی از نرمافزار Broadcom، یک کمپین بدافزار «بسیار کوچک» و «هدفمند» را فاش کرد که از ایمپلنتهای مبتنی بر داتنت که قبلاً مستند نشده بود به نام Frebniis استفاده میکرد. تخمین زده میشود که این حملات less than a handful و very focused on Taiwan باشد.
سیمانتک گفت[۴]: «تکنیک استفادهشده توسط Frebniis شامل تزریق کد مخرب به حافظه یک فایلDLL (iisfreb.dll) مربوط به یک ویژگی IIS است که برای عیبیابی و تجزیهوتحلیل درخواستهای صفحه وب ناموفق استفاده میشود.
این به بدافزار اجازه میدهد تا بهطور مخفیانه تمام درخواستهای HTTP را کنترل کند و درخواستهای HTTP فرمتبندیشده ویژهای را که توسط مهاجم ارسال میشود شناسایی کند و امکان اجرای کد از راه دور را فراهم کند.
این شرکت امنیت سایبری که این نفوذها را به یک بازیگر ناشناس نسبت داده است، گفت که در حال حاضر مشخص نیست که چگونه به دستگاه ویندوزی که سرور خدمات اطلاعات اینترنتی[۵] (IIS) را اجرا میکند، دسترسی پیدا کرده است.
منابع
[۱] https://www.welivesecurity.com/2023/02/16/these-arent-apps-youre-looking-for-fake-installers
[۲] https://thehackernews.com/2022/03/purple-fox-hackers-spotted-using-new.html
[۳] https://thehackernews.com/2023/02/hackers-targeting-us-and-german-firms.html
[۴] https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/frebniis-malware-iis
[۵] https://thehackernews.com/2022/07/new-sessionmanager-backdoor-targeting.html
[۶] https://thehackernews.com/2023/02/hackers-using-google-ads-to-spread.html
ثبت ديدگاه