اخبار امنیت

ویروس کرونا بهشتی برای مهاجمان سایبری!

ویروس کرونا بهشتی برای مهاجمان سایبری!

ویروس کرونا (COVID-19) خبر داغ این روزها، زندگی میلیون‌ها نفر را در سراسر دنیا تحت تاثیر خود قرار داده است. آمار ابتلا و مرگ و میر ناشی از این ویروس، راهکارهای پیشگیری و یا تشخیص آن، تامین و خرید وسایلی مانند ماسک، ژل ضدعفونی و مواد شوینده به موضوعات داغی تبدیل شده‌اند که مردم آن‌ها را به شدت دنبال می‌کنند. وضعیت برای مردم به خصوص ساکنین کشورهایی مانند چین، ایران و ایتالیا بحرانی می‌باشد اما همین وضعیت بحرانی مانند یک بهشت برای مهاجمان سایبری است. مهاجمینی که تا قبل از این برای اجرای حملات فیشینگ، با استفاده از مهندسی اجتماعی هرزنامه‌هایی را طراحی می‌کردند به امید آنکه بتواند گیرندگان را قانع کنند تا بر روی پیوند مخرب کلیک نمایند و یا فایل‌های پیوست آلوده را بگشایند. اما با شیوع کرونا و جهانی شدن آن، طراحی هرزنامه‌ها و راه اندازی حملات موفق فیشینگ بسیار آسان تر و در عین حال موفق‌تر شده است. در چند ماه اخیر کشورهایی مانند امریکا، روسیه و ژاپن گزارشاتی در خصوص حملات فیشینگ با موضوع کرونا را ارائه کرده‌اند، متاسفانه در ایران سازمان‌های مربوط هیچ آمار و گزارش درستی در این خصوص تا به حال منتشر نکرده‌اند. اما بنابر گزارشات متعدی از سوی فورتی‌نت، کسپرسکی، سوفوس و … با موجی از حملات امنیتی روبرو هستیم که درآن‌ها از موضوع ویروس کرونا به اشکال مختلفی سواستفاده شده است. از این رو آرمان داده پویان قصد دارد با تشریح روش‌های مهاجمین ضمن اطلاع رسانی و ایجاد آگاهی در خصوص این حملات راهکارهای موثر برای شناسایی و مسدودسازی آن‌ها را به شما معرفی نماید.

حملات فیشینگ

موضوع داغ کرونا این روزها به مهاجمان سایبری کمک کرده تا طیف وسیعی از هرزنامه‌ها را ایجاد کنند، هرزنامه‌هایی که می‌توانند گیرندگان را به راحتی قانع کنند تا آن‌ها را باز کرده، بر روی لینک مخرب موجود در آن کلیک نمایند و یا فایل آلوده پیوست شده را بگشایند. هرزنامه‌هایی مانند آخرین بروزرسانی‌ها در ارتباط با COVID-19 که به ظاهر از سمت وزارت بهداشت ارسال شده‌ اند و یا هرزنامه‌هایی که تاخیر در ارسال محموله‌ها را به اطلاع صاحبان صنایع می‌رساند، هرزنامه‎‌هایی که خبر از کشف واکسن کرونا می‌دهند تنها نمونه‌هایی از حملات فیشینگی هستند که در چند ماه اخیر اتفاق افتاده‌اند. در این وضعیت سازمان‌ها می‌توانند به راحتی هدف حملات Spear-phishing قرار گیرند. حملاتی که با توجه به نوع فعالیت سازمان‌ها در رابطه با موضوع کرونا تهیه شده باشند. همانطور که در بخش گزارشات امنیتی در ارتباط با حملات فیشینگ صحبت کرده‌ایم، آموزش کاربران یکی از موثرترین راهکارها می‌باشد. حال که می‌دانید با چنین تهدیداتی روبرو هستید، زمانی که رایانامه‌هایی با موضوع ویورس کرونا دریافت می‌کنید قبل از هر اقدامی از صحت ارسال کننده اطمینان حاصل نمایید. این کار را بررسی نشانی رایانامه، سایت مربوطه و دقت به دامنه آن انجام دهید. سازمان‌ها و شرکت در این وضعیت باید به کارکنان آموزش‌های لازم را بدهند و لزوم به کارگیری راهکارهای ضد هرزنامه را جدی بگیرند. در ادامه برخی دامنه‌ها و نام فایل‌هایی که در این حملات استفاده شده‌اند را آورده‌ایم.

  • acccorona[.]com
  • alphacoronavirusvaccine[.]com
  • anticoronaproducts[.]com
  • beatingcorona[.]com
  • beatingcoronavirus[.]com
  • bestcorona[.]com
  • betacoronavirusvaccine[.]com
  • buycoronavirusfacemasks[.]com
  • byebyecoronavirus[.]com
  • cdc-coronavirus[.]com
  • combatcorona[.]com
  • corona-armored[.]com
  • corona-crisis[.]com
  • corona-emergency[.]com
  • corona-explained[.]com
  • corona-iran[.]com
  • corona-ratgeber[.]com
  • coronadatabase[.]com
  • coronadeathpool[.]com
  • coronadetect[.]com
  • coronadetection[.]com
  • contra-coronavirus[.]com

نام فایل‌ها:

  • CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm
  • CoronaVirusSafetyMeasures_pdf.exe
  • CoronaVirusSafetyMeasures_xls.exe
  • LIST OF CORONA VIRUS VICTIM.exe
  • POEA HEALTH ADVISORY re-2020 Novel Corona Virus.pdf.exe
  • POEA Advisories re-2020 Novel Corona Virus.2.pdf.exe

بدافزارهایی چند منظور که بر موج کرونا سوار شده‌اند

محققان امنیتی اظهار کرده‌اند در طول چهار ماه گذشته، بدافزاهای چند منظوره‌ای که در این حملات سایبری استفاده شده‌اند یکسان بوده‌اند. بدافزارهای Emotet، XMRig و Trickbot که در مجموع ۳۰% سازمان‌ها در دنیا را با سوار شدن بر موج کرونا مورد حمله قرار داده‌اند. حملات این بدافزارها به شدت مخرب بوده و با اهدافی مانند سرقت داده و یا ایجاد اختلال در عملکرد سازمان‌ها راه اندازی شده‌اند. باز هم تاکید می‌نماییم، کارکنان سازمان‌ها باید آموزش داده شوند تا از بارگذاری، گشودن اسناد و یا کلیک بر روی پیوندهایی که از خارج از سازمان آمده‌اند تا زمانی که از صحت ارسال کننده برایشان محرز نشده است، خودداری نمایند.

  • Emotet که تا قبل از این به عنوان یک تروجان بانکی مورد استفاده قرار می‌گرفت، در حال حاضر در این کمپین‌های کرونایی به عنوان توزیع کننده سایر بدافزارها به کار گرفته می‌شود. این بدافزار پیشرفته و ماژولار که قابلیت خود-انتشاری نیز دارد از طریق هرزنامه‌هایی که بر روی موج کرونا سوار شده‌اند هم در طول این چهار ماه به سمت قربانیان ارسال شده اند.
  • XMRig بدافزاری است که برای اولین بار در می ۲۰۱۷ شناسایی شد و یک نرم افزار منبع باز است که برای یافتن ارز دیجیتال مونرو مورد استفاده قرار می‌گیرد.
  • Trickbot یک تروجان بانکی است و دائما با ویژگی‌های جدید بروزرسانی می‌گردد. این بدافزار همانطور که گفتیم قابلیت منعطف و قابل تنظیم است و با همین ویژگی‌ها قادر است در کمپین‌های چند منظور مورد استفاده قرار گیرد. بدافزاری که برای شناسایی‌اش نیازمند راهکارهای مبتنی بر هوش مصنوعی هستیم.
  • Agent Tesla یک RAT پیشرفته است که به عنوان Keylogger عمل می‌نماید. ورودی‌های کیبورد قربانی را پویش کرده و سپس جمع آوری می‌نماید. از صفحه نمایشگر قربانی اسکرین شات گرفته و نام کاربری و گذرواژه‌های مربوط به نرم افزارهای مختلف قربانی از جمله Google Chrom، Mozilla Firefox و Microsoft Outlook را سرقت می‌نماید.
  • Formbook که یک سارق اطلاعات است و نام کاربری و گذرواژه‌ها را از مرورگرهای مختلف جمع آوری می‌نماید. این بدافزار اسکرین شات گرفته و می‌تواند از سرور C&C خود فایل دانلود کرده و اجرا نماید.
  • Ramnit یک تروجان بانکی است که اطلاعات شخصی، کوکی جلسات، گذرواژه‌های FTP و نام کاربری و گذرواژه‌های بانکی را سرقت می‌نماید.
  • Vidar: سیستم عامل‌های ویندوز را مورد حمله قرار داده و برای سرقت گذرواژه‌ها، اطلاعات کارت‌های اعتباری و مابقی اطلاعات حساس مربوط به کیف پول‌های دیجیتال و مرورگرهای وب مورد استفاده قرار می‌گیرد. این بدافزار به عنوان dropper بدافزارهایی مانند GandCrab نیز مورد استفاده قرار می‌گیرد.
  • Lokibot: که بیشتر توسط حملات فیشینگ توزیع می‌شود با هدف سرقت نام کاربری و گذرواژه رایانامه‌ها، کیف پول‌های CryptoCoin و سرورهای FTP طراحی شده‌اند.
  • Hawkey: این بدافزار توانایی سرقت گذرواژه‌های رایانامه‌ها و مرورگرهای وب را داشته و امروزه به عنوان بدافزار به عنوان سرویس به فروش می‌رسد.
  • xHElper : یک برنامه کاربردی مخرب است وبرای بارگذاری سایر برنامه‌های کاربردی مخرب و همچنین تبلیغات استفاده می‌شود. این بدافزار قادر است تا خود را از دید سایر بدافزارها مخفی نگه دارد و اگر توسط کاربر نصبش لغو شد مجددا خود را نصب نماید.

نتیجه گیری و راهکارها

شیوع کرونا در دنیا برای مردم دنیا جهنم و برای مهاجمین سایبری یک بهشت را خلق کرده است. حملات فیشینگی که با سواستفاده از موضوع کرونا موفق عمل کرده‌اند و انتشار بدافزارهایی که بر روی موج کرونا سوار شده‌اند نمونه‌هایی از موفقیت‌های مهاجمین در سواستفاده از فراگیر شدن کرونا هستند. در این بین موضوع دورکاری توسط بسیاری از سازمان‌ها نیز بدون داشتن یک زیر ساخت امنیتی مناسب اجرا شده است که خود سطح آسیب پذیری کاربران و سازمان‌ها را بالا می‌برد. در ارتباط با راهکارهای موثر در برابر این موج جدید حملات سایبری، اولین و موثرترین راهکار، آموزش کاربران است تا حساسیت و دقت بالایی را در مقابل رایانامه‌ها، پیوندها و اسنادی که در ارتباط با موضوع کرونا دریافت می‌کنند داشته باشند و همواره از صحت فرستنده اطمینان حاصل نمایند. استفاده از راهکارهای ضدهرزنامه نیز موضوعی است که باید جدی گرفته شود. همچنین اگر شرکتی هستید که در این دوره زمانی به سمت دورکاری رفته‌اید حتما یک طرح جامع امنیتی را با مشاوره وهمراهی شرکت‌های فعال در حوزه امنیت داده‌ها و شبکه، پیاده سازی نمایید. در ارتباط با برخی از بدافزارهای منتشر شده در چند ماهه اخیر نیز باید بگوییم این دسته از تهدیدات که قابلیت تغییر ویژگی‌های خود را دارند و برای شناسایی آن‌ها نیازمند پیاده‌سازی راهکارهای مبتنی بر هوش مصنوعی هستیم.

برای مشاوره و کسب اطلاعات بیشتر با ما تماس بگیرید

“امنیت بهینه را با ما تجربه کنید”

تعداد بازدید: 119


تازه ترین ها