کد QR مطلبدریافت صفحه با کد QR

شرکت‌های مالی در دام یک کمپین ایمیل تجاری

گسترش بدافزاری از طریق Google Cloud Storage

مرکز مدیریت راهبردی افتا , 4 دی 1397 ساعت 14:51

یک کمپین ایمیل تجاری که از میان شرکت‌های مالی قربانی می‌گیرد از طریق سرویس ذخیره‌سازی Google Cloud در حال گسترش بدافزار است.


یک کمپین ایمیل تجاری که از میان شرکت‌های مالی قربانی می‌گیرد از طریق سرویس ذخیره‌سازی Google Cloud در حال گسترش بدافزار است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اخیرا کمپین ایمیل تجاری (business email campaign) جدیدی کشف شده که شرکت‌های مالی را هدف قرار داده‌است و از طریق سرویس ذخیره‌سازی Google Cloud به توزیع بدافزار می‌پردازد.

پژوهشگران آزمایشگاه Menlo این ایمیل‌ها را شناسایی کرده‌اند که تمرکز این عملیات روی کارکنان بانک‌ها و شرکت‌های خدمات مالی است. در این عملیات از رویکردهای مهندسی اجتماعی و ارسال ایمیل‌های فیشینگ استفاده شده‌است تا قربانیان احتمالی وادار به کلیک بر روی لینک‌های مخرب و دانلود بدافزار شوند.

این عملیات از ماه اوت سال جاری فعال بوده و به نظر می‌رسد مهاجمان از Google Cloud Storage که برای اهداف قانونی توسط شرکت‌های بی‌شماری در سراسر جهان مورد استفاده قرار می‌گیرد، سوء استفاده کرده‌باشند.

مهاجمان از دامنه‌های قابل اعتماد به عنوان راهی برای دور زدن کنترل‌های امنیتی سازمان‌ها یا تمهیدات امنیتی محصولات تجاری استفاده‌ می‌کنند. در این عملیات، در پیام‌ها فایل‌های مخرب با پسوند zip یا gz ارسال می‌شوند که در storage.googleapis.com ذخیره شده‌اند.

این روش که «سرقت اعتبار» نامیده‌می‌شود از خدمات محبوب و قانونی برای دور زدن اقدامات امنیتی هنگام پخش‌کردن بدافزار سوء‌استفاده می‌کند. از ۱۰۰هزار دامنه برتر که توسط الکسا رتبه‌بندی شده‌است، ۴۶۰۰ دامنه در کلاهبرداری‌های فیشینگ با استفاده از خدمات میزبانی قانونی دخیل بوده‌اند.

برای سخت‌تر کردن تشخیص ایمیل‌های فیشینگ، مهاجمان از پیوندهای مخرب به جای فایل‌های پیوست استفاده‌ می‌کنند، زیرا بسیاری از سامانه‌های امنیتی ایمیل، تنها زمانی پیوندهای مخرب را شناسایی می‌کنند که در منابع مخرب ثبت شده‌ باشد.

پس از دانلود و اجرا فایل پیوست مخرب توسط قربانی، اسکریپت‌های VBS و فایل‌های JAR درون پیوست به عنوان انتقال‌دهنده بدافزار عمل می‌کنند تا تروجان‌هایی از خانواده بدافزار Houdini را دانلود و اجرا کنند. هر یک از اسکریپت‌ها با استفاده از Base64 رمزگذاری شده‌اند و از طریق دامنه pm۲bitcoin[dot]com با سرور C&C ارتباط برقرار می‌کنند.

تروجان با دسترسی از راه دور (Houdini (RAT قادر به انتقال در شبکه و حافظه‌های قابل حمل و همچنین قادر به دانلود و اجرا بدنه‌های اضافی از سرورهای C&C مانند باج‌افزارها یا بدافزارهای رمزگذاری اطلاعات است.

این RAT قبلا در حملاتی علیه بخش انرژی نیز شناسایی شده‌بود. گوگل نسبت به این عملیات مطلع شده و محتوای حاوی بدافزار را حذف کرده‌است.


کد مطلب: 14897

آدرس مطلب :
https://www.aftana.ir/news/14897/گسترش-بدافزاری-طریق-google-cloud-storage

افتانا
  https://www.aftana.ir