اخبار امنیت

کاربران سرویس ویدیو کنفرانس Webex هدف کمپین جدید فیشینگ

۱۵ اردیبهشت ۱۳۹۹

کاربران سرویس ویدیو کنفرانس Webex هدف کمپین جدید فیشینگ

یکی از سرویس‌های ویدئو کنفرانس  محبوب و مورد توجه، Cisco WebEx است. مرکز مقابله با فیشینگ Cofense، اخیراً کمپین فیشینگ جدیدی که به منظور جمع‌آوری اطلاعات هویتی کاربران سرویس Cisco Webex طراحی شده بود را کشف نمود. نکته جالب توجه این است که سرویس امنیتی رایانامه سیسکو نیز قادر به شناسایی این کمپین نمی‌باشد. این حملات درست در زمانی اتفاق افتاد که میلیون‌ها نفر در سراسر جهان از این پلتفرم‌ آنلاین برای دورکاری استفاده می‌کردند. مهاجمین سایبری با آگاهی از این موضوع، شروع به اکسپلویت نمودن پلتفرم‌ Webex Cisco نمودند.

کمپین فیشینگ Webex

این کمپین فیشینگ با دریافت ایمیلی با موضوعاتی از قبیل “به‌روزرسانی بحرانی” یا “هشدار” از آدرس جعلی [email protected] به راه افتاد. محتوای ایمیل به وجود یک آسیب‌پذیری اشاره می‌کند که کاربر می‌بایست آن را وصله کند، در غیر این‌صورت به وی هشدار می‌دهد که یک کاربر احراز هویت نشده قادر به نصب کانتینر داکر (Docker Container) با دسترسی سطح بالا بر روی سیستم وی خواهد بود. این ترفند هوشمندانه از سوی مهاجمین، برای تأثیر گذاری بیشتر، با لینکی که به آسیب‌پذیری با شناسه مرجع CVE-2016-9223 اشاره می‌کند همراه شده بود. همچنین از آدرس جعلی https://globalpagee-prod-webex.com/signin که در ظاهر شباهت زیادی با آدرس واقعی WebEx (http://globalpage-prod.webex.com/sigin) دارد نیز استفاده شده بود. ضمناً یک دامنه جعلی دارای گواهینامه SSL (برای اعتبار بیشتر) که ظاهراً چند روز قبل از شروع حمله ساخته شده بود نیز مورد استفاده قرار گرفته بود. در اینجا لازم است توضیح دهیم که مرجع صادرکننده گواهینامه SSL سیسکو، شرکت HydrantID می‌باشد در حالی که گواهینامه SSL دامنه جعلی مهاجمین توسط Sectigo Limited صادر شده بود. قربانیان با کلیک بر روی لینک اشاره شده، به صفحه جعلی لاگین Cisco WebEx که شباهت زیادی با صفحه اصلی آن داشت هدایت می‌شدند. به محض ورود قربانی، اطلاعات کاربری سرویس Webex وی مورد سرقت قرار گفته و در دارک‌وب فروخته می‌شد یا برای حملات بعدی مورد استفاده قرار می‌گرفت.

صفحه فیشینگی که قربانیان به آن وارد می‌شوند در ظاهر مانند صفحه قانونی لاگین Cisco WebEx می‌باشد. اما در این دو صفحه زمانی که کاربر آدرس رایانامه را وارد می‌نماید، تفاوت رفتاری را شاهد خواهد بود. در صفحه قانونی Cisco WebEx آدرس رایانامه تایپ شده بررسی می‌گردد و اگر حساب کاربری مرتبط با این رایانامه وجود داشته باشد کاربر به صفحه بعد منتقل خواهد شد. اما در صفحه جعلی، این بررسی انجام نشده و قربانی با هر فرمتی که آدرس رایانامه را وارد نماید به صفحه بعد منتقل خواهد شد.

بعد از اینکه قربانیان نام کاربری و گذر واژه خود را وارد کردند به صفحه رسمی وب سایت سیسکو منتقل خواهند شد تا WebEx را بارگذاری نمایند. همین موضوع می‌تواند اعتماد کاربران را جلب نماید تا آن‌ها به چیزی شک نکرده و گمان کنند که بعد از طی کردن روند احراز هویت اکنون باید نرم افزار خود را بروزرسانی نمایند. این دامنه کلاهبرداری هنوز فعال است. در حقیقت ، هنگام حرکت به دامنه اصلی ، یک پوشه باز وجود دارد که پرونده هایی را که بردار تهدید با استفاده از این حمله استفاده کرده است نشان می دهد. این فایل‌ها شامل ‘sign-in%3fsurl=https%[…]’ و ‘out.php’ می‌باشند. فایل ‘sign-in%3fsurl=https%[…]’ صفحه فیشینگ است. زمانی که کاربران از این دایرکتوری کلیک می‌کنند به صفحه تقلبی لاگین WebEx منتقل می‌گردند.

فایل “out.php” که در شکل مشاهده می‌کنید در واقع سیستم ارسال رایانامه‌ای است که مهاجمان برای ارسال این حمله فیشینگ به قربانیان استفاده می‌کنند. مهاجمین برای کمپین‌های خود به صورت دستی می‌توانند نام دلخواهشان را انتخاب کنند، در این موردی که ما به بررسی آن پرداختیم مهاجمان نام “بروزرسانی‌های ضروری” را انتخاب کرده‌اند.

با توجه به وضعیتی که کرونا در چند وقت اخیر ایجاد کرده است بیشتر کارکنان در سراسر دنیا دورکاری می‌نمایند، در نتیجه لزوم پیاده سازی راهکارهای امن دورکاری امری اجتناب ناپذیر است. در این راستا آرمان داده پویان با بهره‌گیری از متخصصان امنیت آماده ارائه خدمات ارزشمندی به شما خواهد بود.

آرمان داده پویان ارائه دهنده خدمات طراحی و پیاده سازی راهکارهای امن دورکاری

برای اطلاعات بیشتر با ما تماس بگیرید

تعداد بازدید: 101


تازه ترین ها