تکنولوژی

انجام حملات فیشینگ با استفاده از تصاویر جیمز وب



این بار هکرها به سراغ عکس های فضایی گرفته شده توسط تلسکوپ جیمز وب رفته و بدافزارها را در آنها پنهان و ذخیره کرده اند. بر اساس گزارش های موجود، این کمپین بدافزار جدید «GO#WEBBFUSCATOR» نام دارد و هکرها در حال ساخت ایمیل های فیشینگ و ارسال اسناد مخرب هستند. روش جدید هک با استفاده از تصاویر تلسکوپ جیمز و همانطور که توسط Bleeping Computer توضیح داده شده است، هکرها در این کمپین ابتدا یک ایمیل فیشینگ با نام “Geos-Rates.docx” برای قربانیان ارسال می کنند و با باز کردن آن، یک فایل به طور کامل ناآگاهانه دانلود می شود. اگر عنصر ماکرو مجموعه Office سیستم کاربر هدف فعال باشد، فایل دانلود شده به طور خودکار یک ماکرو VBS را اجرا می کند. در نهایت یک تصویر JPG مخرب در سیستم آنها دانلود می شود. اگر کاربران این فایل را با نمایشگر تصویر باز کنند، اگر دارای بدافزار باشد، تصویری از خوشه کهکشانی SMACS 0723 که توسط تلسکوپ جیمز وب گرفته شده است به آنها نشان داده می شود. پس از راه اندازی موفقیت آمیز این کمپین، بدافزار به هکر اجازه می دهد تا از طریق یک اتصال DNS، یک سرور فرمان و کنترل (C2) را راه اندازی کند. سپس می توانند دستورات مورد نظر خود را از طریق ابزار cmd.exe ویندوز اجرا کنند. همچنین در این روش هکرها از روش هایی برای جلوگیری از شناسایی توسط ابزارهای امنیتی استفاده می کنند. Bleeping Computer در ادامه گزارش خود به زبان برنامه نویسی Golang مورد استفاده این هکرها اشاره می کند که به دلیل قابلیت های کراس پلتفرم (ویندوز، لینوکس و مک) در بین هکرها محبوبیت دارد. بسیار محبوب شد. همچنین شناسایی ابزارهای امنیتی دشوارتر است. محققان شرکت امنیتی Securonix دریافته‌اند که دامنه‌های مورد استفاده در این کمپین اخیراً ثبت شده‌اند (29 مه 2022) و ابزار VirusTotal هنوز آنها را به عنوان مخرب علامت‌گذاری نکرده است.

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد.