آنتی ویروس پادویش

حملات سایبری فیشینگ : فایل‌های خراب، بدافزار های بی‌ فایل و صفحات فیشینگ در کمین!

حملات سایبری نوظهور

حملات سایبری فیشینگ : مراقب باشید! حملات سایبری جدید در راه هستند! فایل‌های خراب، بدافزارهای بی‌فایل و صفحات فیشینگ در کمین شما هستند. ANY.RUN به شما کمک می‌کند تا این تهدیدات را شناسایی و از خود محافظت کنید. ️

به گزارش زوم تک از هکر نیوز، مجرمان سایبری همواره در حال ابداع روش‌های جدید برای به خطر انداختن اهداف خود هستند. به همین دلیل، سازمان‌ها باید از آخرین تهدیدات آگاه باشند. در اینجا خلاصه‌ای از حملات بدافزار و فیشینگ اخیر که باید برای محافظت از زیرساخت‌های خود بدانید، ارائه شده است.

حمله روز صفر: فایل‌های مخرب خراب از شناسایی توسط اکثر سیستم‌های امنیتی فرار می‌کنند

تیم تحلیلگران ANY.RUN تحلیل خود را از یک حمله روز صفر در حال انجام به اشتراک گذاشته‌اند که حداقل از ماه آگوست فعال بوده و تا به امروز توسط اکثر نرم‌افزارهای امنیتی شناسایی نشده است. این حمله شامل استفاده از اسناد ورد و آرشیوهای ZIP عمدا خراب شده با فایل‌های مخرب در داخل آنها است.

به دلیل خرابی، سیستم‌های امنیتی نمی‌توانند نوع این فایل‌ها را به درستی شناسایی کرده و آنها را تجزیه و تحلیل کنند، که منجر به عدم شناسایی تهدید می‌شود. پس از تحویل این فایل‌ها به سیستم و باز شدن آنها با برنامه‌های مربوطه (Word برای docx و WinRAR برای zip)، آنها بازیابی می‌شوند و محتوای مخرب را به قربانی ارائه می‌دهند.

sandbox ANY.RUN یکی از معدود ابزارهایی است که این تهدید را شناسایی می‌کند. این ابزار به کاربران اجازه می‌دهد تا فایل‌های مخرب خراب را در داخل یک ماشین مجازی کاملا تعاملی ابری با برنامه‌های مربوطه باز کرده و آنها را بازیابی کنند. این به شما امکان می‌دهد تا ببینید فایل حاوی چه نوع محموله‌ای است.

حمله بدافزار بی‌فایل از طریق اسکریپت PowerShell، Quasar RAT را توزیع می‌کند
یکی دیگر از حملات قابل توجه اخیر، استفاده از یک بارگذار بی‌فایل به نام Psloramyra است که Quasar RAT را روی دستگاه‌های آلوده رها می‌کند. این بارگذار از تکنیک LoLBaS (استفاده از فایل‌های اجرایی و اسکریپت‌های موجود در سیستم) برای اجرای یک اسکریپت PowerShell استفاده می‌کند. این اسکریپت یک محموله مخرب را به صورت پویا در حافظه بارگذاری می‌کند، روش Execute را از اسمبلی .NET بارگذاری شده شناسایی و استفاده می‌کند و در نهایت Quasar را به یک فرآیند قانونی مانند RegSvcs.exe تزریق می‌کند.

این بدافزار به طور کامل در حافظه سیستم عمل می‌کند و هیچ اثری روی دیسک فیزیکی باقی نمی‌گذارد. برای حفظ حضور خود، یک کار زمان‌بندی شده ایجاد می‌کند که هر دو دقیقه یک بار اجرا می‌شود.

سوء استفاده از Azure Blob Storage در حملات فیشینگ

مجرمان سایبری اکنون در حال میزبانی صفحات فیشینگ در راه حل ذخیره‌سازی ابری Azure هستند و از زیر دامنه *.blob[.]core[.]windows[.]net استفاده می‌کنند. مهاجمان از یک اسکریپت برای دریافت اطلاعات در مورد نرم‌افزار قربانی، مانند سیستم عامل و مرورگر، که در صفحه قرار دارد استفاده می‌کنند تا آن را قابل اعتمادتر جلوه دهند. هدف این حمله، فریب قربانی برای وارد کردن اطلاعات ورود خود در یک فرم جعلی است که سپس جمع‌آوری و به سرقت می‌رود.

بارگذار Emmenhtal از اسکریپت‌ها برای ارائه Lumma، Amadey و سایر بدافزارها استفاده می‌کند
Emmenhtal یک تهدید نوظهور است که در چندین کمپین در طول سال گذشته نقش داشته است. در یکی از آخرین حملات، مجرمان از اسکریپت‌ها برای تسهیل زنجیره اجرا استفاده می‌کنند که شامل مراحل زیر است:

فایل LNK Forfiles را شروع می‌کند
Forfiles HelpPane را پیدا می‌کند
PowerShell Mshta را با محموله مرحله اول رمزگذاری شده با AES راه‌اندازی می‌کند
Mshta رمزگشایی و محموله دانلود شده را اجرا می‌کند
PowerShell یک دستور رمزگذاری شده با AES را برای رمزگشایی Emmenhtal اجرا می‌کند
بارگذار Emmenhtal، که اسکریپت نهایی PowerShell است، یک محموله – اغلب Updater.exe – را با استفاده از یک فایل باینری با یک نام تولید شده به عنوان آرگومان اجرا می‌کند. این منجر به آلودگی توسط خانواده‌های بدافزار مانند Lumma، Amadey، Hijackloader یا Arechclient2 می‌شود.

آخرین حملات سایبری را با ANY.RUN تجزیه و تحلیل کنید

sandbox تعاملی ANY.RUN را برای تجزیه و تحلیل پیشرفته بدافزار و فیشینگ به کار گیرید. این سرویس مبتنی بر ابر یک محیط ماشین مجازی امن و کاملا کاربردی را در اختیار شما قرار می‌دهد و به شما امکان می‌دهد تا به راحتی با فایل‌های و URLهای مخرب که ارسال می‌کنید تعامل داشته باشید. همچنین به طور خودکار رفتار مخرب را در زمان واقعی در فعالیت‌های شبکه و سیستم شناسایی می‌کند.

 

به این پست امتیاز بدید

نظرات در مورد : حملات سایبری فیشینگ : فایل‌های خراب، بدافزار های بی‌ فایل و صفحات فیشینگ در کمین!

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *