کارگزاران CDN راه دور زدن ترفندهای امنیتی می‌شوند

دسته: امنیت
بدون دیدگاه
پنجشنبه - 14 سپتامبر 2017


کلاهبرداران از کارگزارهای CDN فیس‌بوک برای دور زدن راهکارهای امنیتی سوءاستفاده می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کلاهبرداران با استفاده از کارگزارهای شبکه تحویل محتوای (CDN) فیس‌بوک برای ذخیره و ارائه بدافزار و جلوگیری از ردیابی استفاده کرده و از اعتماد این شبکه اجتماعی به شبکه CDN سوء‌استفاده می‌کنند.

محققان گروه MalwareHunter به تازگی چندین پویش را کشف کردند که به کارگزارهای شبکه تحویل محتوای فیس‌بوک نفوذ کرده‌اند. در گذشته گروه‌های نفوذ مشابه از دراپ‌باکس و خدمات ذخیره ابری گوگل برای ذخیره بارکاری مشابه استفاده می‌کردند.

در ماه جولای محققان درباره پویشی که با استفاده از هرزنامه بدافزار ارسال می‌کرد و برزیل را هدف گرفته‌بود، یک گزارش دقیق منتشر کردند. در این پویش کلاهبرداران از خدمات قانونی مثل گوگل و دراپ‌باکس برای تحویل بدافزار استفاده‌می‌کردند.

استفاده از شبکه تحویل محتوای فیس‌بوک اجازه می‌دهد تا مجرمان سایبری راهکارهای امنیتی را دور بزنند، زیرا این دامنه توسط آنها مورد اعتماد است و ترافیک آنها مسدود نمی‌شود. مجرمان سایبری از ارسال ایمیل‌های دروغین استفاده می‌کنند که مدعی‌اند از طرف مقامات محلی ارسال شده‌اند، . این پیام‌ها شامل یک پیوند است که به سمت کارگزار شبکه تحویل محتوای فیس‌بوک هدایت می‌شوند. این پیوند URL به پوشه‌هایی که در گروه‌های فیس‌بوک یا دیگر بخش‌های عمومی توسط گروه مهاجمان بارگذاری شده، مربوط می‌شود.

هنگامی‌که قربانی روی پیوندی کلیک کند، یک پوشه فشرده‌شده که شامل یک پوشه پیوند است، بارگیری خواهدکرد. این میان‌بر یک برنامه‌ مجاز نصب‌شده روی اکثر ویندوزها مثل اعلان دستور یا پاورشل را نیاز دارد تا یک اسکریپت پاورشل کدشده را اجرا کند. کارشناسان می‌گویند APT32 از این روش که با عنوان Squibledoo شناخته‌می‌شود زمانی‌که منافع ویتنام را در سراسر جهان مورد هدف قرار دادند، استفاده کرده است.

اسکریپت پاورشل کدشده، اسکریپت پاورشل دیگری را بارگیری و اجرا می‌کند که تعداد زیادی عملیات را اجرا می‌کند. کاتالین کیمپانو از BleepingComputer نوشت: «دومین اسکریپت پاورشل یک پوشه DLL را بارگیری می‌کند که به نوبه‌ خود یک پوشه EXE قانونی و یک DLL دوم را بارگیری می‌کند. پیچیدگی عملیات با ایجاد یک پوشه پیوند (میانبر) که به یک اسکریپت VBS اشاره می کند، ادامه می‌یابد. اسکریپت پاورشل سپس پرونده‌ میانبر را فراخوانی می‌کند که آن هم اسکریپ VBS را فراخوانی می‌کند که آن هم به نوبه خود پرونده EXE قانونی را اجرا می‎کند که پوشه DLL را بارگذاری می‌کند.»

کلاهبرداران فقط کاربران برزیلی را هدف قرار می‌دهند، زمانی که قربانی از یک کشور دیگر باشد با بارگیری یک پوشه DLL خالی در آخرین مرحله، این رشته حملات قطع می‌شود. این پویش، ارائه‌کننده‌ بدافزار Banload است که برای خدمت به تروجان بانکی Win۳۲ / Spy.Banker.ADYV استفاده‌می‌شود که فقط کاربران برزیلی را هدف قرار می‌دهد.

کارشناسان معتقدند که افراد پشت این پویش، همان افراد پویش Banload هستند که برزیل را در سال ۲۰۱۶ میلادی هدف گرفتند و تروجان بانکی Escelar را در سال ۲۰۱۵ میلادی گسترش دادند. کارشناسان MalwareHunter بر این باورند که گروه مخرب بسیار خبره هستند و به منابع خوبی دسترسی دارند.




نوشته شده توسط:admin - 4647 مطلب
پرینت اشتراک گذاری در فیسبوک اشتراک گذاری در توییتر اشتراک گذاری در گوگل پلاس
بازدید: ۱
برچسب ها:
دیدگاه ها