حملات سایبری فیشینگ : مراقب باشید! حملات سایبری جدید در راه هستند! فایلهای خراب، بدافزارهای بیفایل و صفحات فیشینگ در کمین شما هستند. ANY.RUN به شما کمک میکند تا این تهدیدات را شناسایی و از خود محافظت کنید. ️
به گزارش زوم تک از هکر نیوز، مجرمان سایبری همواره در حال ابداع روشهای جدید برای به خطر انداختن اهداف خود هستند. به همین دلیل، سازمانها باید از آخرین تهدیدات آگاه باشند. در اینجا خلاصهای از حملات بدافزار و فیشینگ اخیر که باید برای محافظت از زیرساختهای خود بدانید، ارائه شده است.
حمله روز صفر: فایلهای مخرب خراب از شناسایی توسط اکثر سیستمهای امنیتی فرار میکنند
تیم تحلیلگران ANY.RUN تحلیل خود را از یک حمله روز صفر در حال انجام به اشتراک گذاشتهاند که حداقل از ماه آگوست فعال بوده و تا به امروز توسط اکثر نرمافزارهای امنیتی شناسایی نشده است. این حمله شامل استفاده از اسناد ورد و آرشیوهای ZIP عمدا خراب شده با فایلهای مخرب در داخل آنها است.
به دلیل خرابی، سیستمهای امنیتی نمیتوانند نوع این فایلها را به درستی شناسایی کرده و آنها را تجزیه و تحلیل کنند، که منجر به عدم شناسایی تهدید میشود. پس از تحویل این فایلها به سیستم و باز شدن آنها با برنامههای مربوطه (Word برای docx و WinRAR برای zip)، آنها بازیابی میشوند و محتوای مخرب را به قربانی ارائه میدهند.
sandbox ANY.RUN یکی از معدود ابزارهایی است که این تهدید را شناسایی میکند. این ابزار به کاربران اجازه میدهد تا فایلهای مخرب خراب را در داخل یک ماشین مجازی کاملا تعاملی ابری با برنامههای مربوطه باز کرده و آنها را بازیابی کنند. این به شما امکان میدهد تا ببینید فایل حاوی چه نوع محمولهای است.
حمله بدافزار بیفایل از طریق اسکریپت PowerShell، Quasar RAT را توزیع میکند
یکی دیگر از حملات قابل توجه اخیر، استفاده از یک بارگذار بیفایل به نام Psloramyra است که Quasar RAT را روی دستگاههای آلوده رها میکند. این بارگذار از تکنیک LoLBaS (استفاده از فایلهای اجرایی و اسکریپتهای موجود در سیستم) برای اجرای یک اسکریپت PowerShell استفاده میکند. این اسکریپت یک محموله مخرب را به صورت پویا در حافظه بارگذاری میکند، روش Execute را از اسمبلی .NET بارگذاری شده شناسایی و استفاده میکند و در نهایت Quasar را به یک فرآیند قانونی مانند RegSvcs.exe تزریق میکند.
این بدافزار به طور کامل در حافظه سیستم عمل میکند و هیچ اثری روی دیسک فیزیکی باقی نمیگذارد. برای حفظ حضور خود، یک کار زمانبندی شده ایجاد میکند که هر دو دقیقه یک بار اجرا میشود.
سوء استفاده از Azure Blob Storage در حملات فیشینگ
مجرمان سایبری اکنون در حال میزبانی صفحات فیشینگ در راه حل ذخیرهسازی ابری Azure هستند و از زیر دامنه *.blob[.]core[.]windows[.]net استفاده میکنند. مهاجمان از یک اسکریپت برای دریافت اطلاعات در مورد نرمافزار قربانی، مانند سیستم عامل و مرورگر، که در صفحه قرار دارد استفاده میکنند تا آن را قابل اعتمادتر جلوه دهند. هدف این حمله، فریب قربانی برای وارد کردن اطلاعات ورود خود در یک فرم جعلی است که سپس جمعآوری و به سرقت میرود.
بارگذار Emmenhtal از اسکریپتها برای ارائه Lumma، Amadey و سایر بدافزارها استفاده میکند
Emmenhtal یک تهدید نوظهور است که در چندین کمپین در طول سال گذشته نقش داشته است. در یکی از آخرین حملات، مجرمان از اسکریپتها برای تسهیل زنجیره اجرا استفاده میکنند که شامل مراحل زیر است:
فایل LNK Forfiles را شروع میکند
Forfiles HelpPane را پیدا میکند
PowerShell Mshta را با محموله مرحله اول رمزگذاری شده با AES راهاندازی میکند
Mshta رمزگشایی و محموله دانلود شده را اجرا میکند
PowerShell یک دستور رمزگذاری شده با AES را برای رمزگشایی Emmenhtal اجرا میکند
بارگذار Emmenhtal، که اسکریپت نهایی PowerShell است، یک محموله – اغلب Updater.exe – را با استفاده از یک فایل باینری با یک نام تولید شده به عنوان آرگومان اجرا میکند. این منجر به آلودگی توسط خانوادههای بدافزار مانند Lumma، Amadey، Hijackloader یا Arechclient2 میشود.
آخرین حملات سایبری را با ANY.RUN تجزیه و تحلیل کنید
sandbox تعاملی ANY.RUN را برای تجزیه و تحلیل پیشرفته بدافزار و فیشینگ به کار گیرید. این سرویس مبتنی بر ابر یک محیط ماشین مجازی امن و کاملا کاربردی را در اختیار شما قرار میدهد و به شما امکان میدهد تا به راحتی با فایلهای و URLهای مخرب که ارسال میکنید تعامل داشته باشید. همچنین به طور خودکار رفتار مخرب را در زمان واقعی در فعالیتهای شبکه و سیستم شناسایی میکند.
نظرات در مورد : حملات سایبری فیشینگ : فایلهای خراب، بدافزار های بی فایل و صفحات فیشینگ در کمین!