هشدار کمپین فیشینگ ClickFix مایکروسافت به کاربران بوکینگ دات کام

مایکروسافت در مورد کمپین فیشینگ ClickFix که بخش مهمان نوازی را از طریق ایمیل‌های جعلی Booking[.]com هدف قرار می‌دهد، هشدار می‌دهد.

به گزارش زوم تک از The Hacker News، مایکروسافت در مورد یک کمپین فیشینگ در حال انجام که بخش مهمان نوازی را با جعل هویت آژانس مسافرتی آنلاین Booking.com هدف قرار داده است، هشدار داد. این کمپین از یک تکنیک مهندسی اجتماعی به طور فزاینده محبوب به نام ClickFix برای تحویل بدافزارهای سرقت اعتبار استفاده می‌کند.

تیم اطلاعات تهدید غول فناوری اعلام کرد که این فعالیت در دسامبر 2024 آغاز شده است و با هدف نهایی انجام تقلب مالی و سرقت عمل می‌کند. این کمپین تحت نام مستعار Storm-1865 ردیابی می‌شود.

مایکروسافت در گزارشی که با The Hacker News به اشتراک گذاشته است، گفت: “این حمله فیشینگ به طور خاص افرادی را در سازمان‌های مهمان نوازی در آمریکای شمالی، اقیانوسیه، جنوب و جنوب شرقی آسیا و شمال، جنوب، شرق و غرب اروپا هدف قرار می‌دهد که به احتمال زیاد با Booking.com کار می‌کنند و ایمیل‌های جعلی ارسال می‌کنند که ظاهراً از طرف این آژانس می‌آیند.”

تکنیک ClickFix در ماه‌های اخیر به طور گسترده‌ای مورد استفاده قرار گرفته است، زیرا کاربران را فریب می‌دهد تا بدافزار را تحت پوشش رفع یک خطای ظاهری (یعنی غیر موجود) با کپی کردن، چسباندن و راه‌اندازی دستورالعمل‌های فریبنده که فرآیند عفونت را فعال می‌کنند، اجرا کنند. اولین بار در اکتبر 2023 در طبیعت شناسایی شد.

زنجیره حمله با ارسال یک ایمیل مخرب توسط Storm-1865 به یک فرد هدف در مورد یک نظر منفی که توسط یک مهمان ادعایی در Booking.com گذاشته شده است، شروع می‌شود و از آنها “بازخورد” می‌خواهد. این پیام همچنین یک لینک یا یک پیوست PDF حاوی لینکی را جاسازی می‌کند که ظاهراً گیرندگان را به سایت رزرو هدایت می‌کند.

با این حال، در واقعیت، کلیک کردن روی آن قربانی را به یک صفحه تأیید CAPTCHA جعلی هدایت می‌کند که روی یک “پس زمینه به ظرافت قابل مشاهده طراحی شده برای تقلید از یک صفحه قانونی Booking.com” قرار گرفته است. با این کار، ایده این است که حس امنیت کاذبی ایجاد شود و احتمال موفقیت در حمله افزایش یابد.

مایکروسافت گفت: “CAPTCHA جعلی جایی است که صفحه وب از تکنیک مهندسی اجتماعی ClickFix برای دانلود بار مخرب استفاده می‌کند. این تکنیک به کاربر دستور می‌دهد تا از یک میانبر صفحه کلید برای باز کردن یک پنجره اجرای ویندوز استفاده کند، سپس یک دستور را که صفحه وب به کلیپ بورد اضافه می‌کند، جایگذاری و اجرا کند.”

این دستور به طور خلاصه از باینری قانونی mshta.exe برای رها کردن بار مرحله بعدی استفاده می‌کند که شامل خانواده‌های مختلف بدافزار کالایی مانند XWorm، Lumma stealer، VenomRAT، AsyncRAT، Danabot و NetSupport RAT است.

ردمون گفت که قبلاً Storm-1865 را مشاهده کرده بود که خریداران را با استفاده از پلتفرم‌های تجارت الکترونیک با پیام‌های فیشینگ که منجر به صفحات وب پرداخت جعلی می‌شد، هدف قرار داده است. بنابراین، گنجاندن تکنیک ClickFix نشان دهنده یک تکامل تاکتیکی است که برای عبور از اقدامات امنیتی مرسوم در برابر فیشینگ و بدافزار طراحی شده است.

در ادامه آمده است: “تهدیدگری که مایکروسافت آن را Storm-1865 ردیابی می‌کند، خوشه‌ای از فعالیت‌ها است که کمپین‌های فیشینگ را انجام می‌دهد و منجر به سرقت اطلاعات پرداخت و هزینه‌های جعلی می‌شود.”

“این کمپین‌ها از اوایل سال 2023 با حجم افزایش یافته در جریان بوده‌اند و شامل پیام‌هایی هستند که از طریق پلتفرم‌های فروشنده، مانند آژانس‌های مسافرتی آنلاین و پلتفرم‌های تجارت الکترونیک، و سرویس‌های ایمیل، مانند Gmail یا iCloud Mail، ارسال می‌شوند.”

Storm-1865 تنها یکی از کمپین‌های متعددی است که ClickFix را به عنوان یک بردار برای توزیع بدافزار پذیرفته‌اند. اثربخشی این تکنیک به حدی است که حتی گروه‌های دولتی روسی و ایرانی مانند APT28 و MuddyWater نیز از آن برای فریب قربانیان خود استفاده کرده‌اند.

Group-IB در گزارش مستقلی که امروز منتشر شد، گفت: “قابل توجه است که این روش از رفتار انسان بهره می‌برد: مهاجمان با ارائه یک “راه حل” محتمل برای یک مشکل درک شده، بار اجرا را به کاربر منتقل می‌کنند و به طور موثر از بسیاری از دفاع‌های خودکار عبور می‌کنند.”

یکی از این کمپین‌هایی که توسط شرکت امنیت سایبری سنگاپوری مستند شده است، شامل استفاده از ClickFix برای رها کردن یک دانلودر به نام SMOKESABER است که سپس به عنوان مجرایی برای Lumma Stealer عمل می‌کند. کمپین‌های دیگر از تبلیغات مخرب، مسمومیت سئو، مشکلات GitHub و هرزنامه فروم‌ها یا سایت‌های رسانه‌های اجتماعی با لینک‌هایی به صفحات ClickFix استفاده کرده‌اند.

Group-IB گفت: “تکنیک ClickFix نشان دهنده تکامل در استراتژی‌های مهندسی اجتماعی متخاصم است که از اعتماد کاربر و عملکرد مرورگر برای استقرار بدافزار استفاده می‌کند. پذیرش سریع این روش توسط مجرمان سایبری و گروه‌های APT بر اثربخشی و مانع فنی پایین آن تاکید دارد.”

برخی از کمپین‌های ClickFix دیگری که در چند هفته گذشته مستند شده‌اند در زیر فهرست شده‌اند –

• استفاده از تأییدیه‌های CAPTCHA جعلی برای شروع یک فرآیند اجرای چند مرحله‌ای PowerShell، که در نهایت منجر به ارائه دزدان اطلاعات مانند Lumma و Vidar می‌شود.
• استفاده از چالش‌های جعلی Google reCAPTCHA توسط یک تهدیدگر به نام Blind Eagle برای استقرار بدافزار.
• استفاده از لینک‌های تأیید رزرو جعلی برای تغییر مسیر کاربران به صفحات تأیید CAPTCHA که منجر به Lumma Stealer می‌شوند.
• استفاده از سایت‌های جعلی با تم ویندوز برای تغییر مسیر کاربران به صفحات تأیید CAPTCHA که منجر به Lumma Stealer می‌شوند.

مکانیسم‌های عفونت متنوع Lumma Stealer با کشف کمپین دیگری که از مخازن جعلی GitHub با محتوای تولید شده توسط هوش مصنوعی برای تحویل دزد از طریق یک لودر به نام SmartLoader استفاده می‌کند، بیشتر نشان داده شده است.

Trend Micro در تحلیلی که اوایل این هفته منتشر شد، گفت: “این مخازن مخرب به عنوان ابزارهای غیر مخرب، از جمله تقلب در بازی، نرم‌افزار کرک شده و ابزارهای ارز دیجیتال، مبدل شده‌اند. این کمپین قربانیان را با وعده‌های عملکرد غیرمجاز رایگان یا غیرقانونی فریب می‌دهد و آنها را ترغیب می‌کند تا فایل‌های ZIP (به عنوان مثال، Release.zip، Software.zip) را دانلود کنند.”

این عملیات نشان می‌دهد که چگونه تهدیدگران از اعتماد مرتبط با پلتفرم‌های محبوب مانند GitHub برای انتشار بدافزار سوء استفاده می‌کنند.

این یافته‌ها در حالی منتشر می‌شود که Trustwave یک کمپین فیشینگ ایمیلی را تشریح کرد که از ترفندهای مربوط به فاکتور برای توزیع یک نسخه به روز شده از بدافزار دزد دیگری به نام StrelaStealer استفاده می‌کند که ارزیابی می‌شود توسط یک تهدیدگر واحد به نام Hive0145 اداره می‌شود.

این شرکت گفت: “نمونه‌های StrelaStealer شامل ابهام سفارشی چند لایه و صاف کردن جریان کد برای پیچیده کردن تحلیل آن است. گزارش شده است که تهدیدگر به طور بالقوه یک رمزگذار تخصصی به نام ‘Stellar loader’ را به طور خاص برای استفاده با StrelaStealer توسعه داده است.”