پژوهشگران امنیت سایبری می‌گویند بیش از ۵۰۰ هزار سیستم با سوءاستفاده از سرویس میزبانی کد Bitbucket آلوده شده‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بازیگران تهدید به‌طور فعال تعداد بی‌سابقه‌ای از بدافزارها را در یک حمله بین‌المللی از طریق سرویس بیت‌باکت، انتقال دادند. زمانی که سرویس‌های میزبانی قانونی، مانند گوگل درایو، گیت‌هاب و دراپ‌باکس، مورد سوءاستفاده قرار می‌گیرند با گزارش کاربران فایل‌های مخرب به سرعت حذف می‌شوند. با این حال در عملیاتی که اخیرا کشف شده‌است، مجموعه‌ای از پروفایل‌های کاربری مورد استفاده قرار گرفتند که هریک از آنها به منظور اجتناب از اختلال در عملیات مخرب، به‌طور مرتب به‌روز می‌شوند. ابزار بیت‌باکت (Bitbucket)، سرویس مدیریت و میزبانی کد، جدیدترین سرویس قانونی است که برای توزیع بدافزار مورد سوء‌استفاده مهاجمان قرار گرفته‌است.

بنابر گزارش منتشر شده توسط پژوهشگران امنیتی، بیش از ۵۰۰ هزار سیستم توسط بدافزارهای مورد استفاده در این عملیات آلوده شدند. همچنین هیچ نشانه‌ای از توقف این عملیات نیز مشاهده نشده‌است.

بدافزارهای استفاده شده در این عملیات که روی بیت‌باکت میزبانی می‌شوند، موارد زیر هستند:

• Predator: یک بدافزار سارق اطلاعات که اطلاعات احرازهویت را از مرورگرها به سرقت می‌برد، از دوربین سیستم برای گرفتن عکس استفاده می‌کند، از صفحه نمایش اسکرین‌شات می‌گیرد و کیف پول‌های رمزارزها را به سرقت می‌برد.

• Azorult: یک بدافزار سارق اطلاعات که اطلاعات احرازهویت ایمیل، گذرواژه‌ها، کوکی‌ها، تاریخچه مرورگر، شناسه‌های کاربری و رمزارزها را سرقت می‌کند و همچنین دارای قابلیت‌های درپشتی است.

• Evasive Monero Miner: یک منتقل کننده بدافزار برای کاوش‌گر رمزارز XMRig چند مرحله‌ای است. بدافزار چند مرحله‌ای منتقل شده از تکنیک‌های پیشرفته استفاده می‌کند تا بصورت مخفیانه رمزارز Monero را استخراج کند.

• باج‌افزار STOP: باج‌افزاری است که فایل‌های سیستم را رمزگذاری می‌کند. این بدافزار دارای قابلیت‌های دانلودکننده است که می‌تواند سیستم قربانی را با بدافزارهای دیگر آلوده کند.

• Vidar: یک بدافزار سارق اطلاعات که کوکی‌ها و تاریخچه مرورگر، کیف پول‌های دیجیتال، داده‌های احرازهویت دو مرحله‌ای را به سرقت می‌برد و می‌تواند از صفحه نمایش اسکرین‌شات بگیرد.

• بات Amadey: یک تروجان ساده که برای جاسوسی اطلاعات روی سیستم هدف بکار گرفته می‌شود.
• IntelRapid: یک سارق رمزارز که انواع مختلف کیف پول رمزارزها را هدف قرار می‌دهد.

در این عملیات از Themida و CypherIT نیز برای بسته‌بندی بدافزارها و جلوگیری از شناسایی و تجزیه و تحلیل آن‌ها، استفاده شده است.

بردار آلودگی استفاده شده در حملات از ایمیل‌های فیشینگی آغاز می‌شود که از طریق مهندسی اجتماعی کاربران را فریب می‌دهند تا برنامه‌های کرک شده را دانلود کنند.

بنظر می‌رسد که مهاجمان سایبری با بارگذاری بدافزارها در سرویس‌های میزبانی شناخته شده، قصد دارند تا با سوء استفاده از اعتماد کاربران به این سرویس‌ها، رویکردهای امنیتی را دور بزنند و در عین حال اهداف مخرب خود را پیش ببرند. علاوه بر این، این روش باعث می‌شود تا ریسک شناسایی زیرساخت‌های سرورهای فرمان و کنترل (C&C) مهاجمین نیز کاهش یابد.

با توجه به استفاده مهاجمان از انواع مختلف بدافزار در این عملیات، آنها سعی دارند تا جایی که ممکن است داده‌های حساس بیشتری از قربانیان به سرقت ببرند. اعمال به‌روزرسانی‌ها و وصله‌های منتشر شده برای سیستم‌عامل‌ها و نرم‌افزارهای پرکاربرد و همچنین استفاده از نرم‌افزارهای ضدویروس از روش‌هایی است که می‌تواند از آلودگی کاربر به این گونه بدافزارها جلوگیری کند.

نشانه‌های آلودگی (IoC) بدافزارها از طریق این لینک قابل دریافت است.