انتشار شده در تاریخ 1405/04/02 - 09:06

حمله جدید فیشینگ از طریق اسناد جعلی واتس‌اپ

حمله فیشینگ واتس‌اپ از اسناد تجاری جعلی برای هک کردن رایانه‌های شخصی استفاده می‌کند.

به گزارش کارگروه شبکه‌های اجتماعی سایبربان؛ یک کمپین بدافزاری کاربران واتس‌اپ را در چندین کشور با پیام‌های فریبنده‌ای هدف قرار داد که فایل‌های «VBScript» را ارسال می‌کنند و منجر به دسترسی از راه دور به سیستم شد.

عامل تهدید از نام فایل‌هایی استفاده کرد که نشان دهنده اسناد تجاری و مالی ارائه شده توسط مخاطبین قربانی است که حساب‌های کاربری آنها به خطر افتاده است.

با دانلود و اجرای پیوست‌های مخرب، گیرنده یک زنجیره آلودگی را آغاز کرد که منجر به نصب «ManageEngine Endpoint Central» قانونی می‌شود که توسط مدیران فناوری اطلاعات برای مدیریت سیستم‌ها از یک داشبورد متمرکز استفاده می‌گردد.

داده‌های تله‌متری از شرکت امنیت سایبری کسپرسکی (Kaspersky) نشان می‌دهد که این کمپین در سراسر برزیل، هند، مکزیک، سنگاپور، انگلستان، اسپانیا، تایوان، استرالیا، روسیه، ویتنام و مالزی گسترش یافته است.

کسپرسکی گزارش داد که حملات با پیام‌های ارسال شده از حساب‌های به خطر افتاده‌ای آغاز می‌شود که حاوی چیزی جز یک فایل VBS به شدت مبهم نیستند.

به این فایل‌ها نام‌هایی داده می‌شود که باعث می‌شود گزارش‌های مالی، صورت‌حساب‌ها، اطلاعیه‌های حساب و اسناد مشابه به نظر برسند که احتمالاً توجه هدف را جلب کرده و آنها را به باز کردن فایل ترغیب می‌کند.

نام فایل‌ها نیز به چندین زبان ترجمه شده‌اند که این امر، دسترسی جهانی این کمپین را بیشتر تأیید می‌کند.

کسپرسکی توضیح داد:

«بر اساس شواهد جمع‌آوری‌شده از چندین قربانی از طریق گزارش‌های رسانه‌های اجتماعی و نمونه‌های ارسالی، می‌توانیم نتیجه بگیریم که عامل تهدید به چندین حساب واتس‌اپ دسترسی یافته و از آنها برای توزیع فایل‌های VBScript مخرب به مخاطبین موجود در فهرست مخاطبین کاربران آسیب‌دیده استفاده کرده است.»

اگر قربانی فایل را در ویندوز دانلود و باز کند، VBScript دو اسکریپت اضافی را از زیرساخت مهاجم دریافت می‌کند که به نوبه خود، محافظت‌های UAC را از طریق تغییرات رجیستری غیرفعال کرده و یک بایگانی زیپ حاوی برنامه ManageEngine Endpoint Central را دانلود می‌کند.

این نرم‌افزار به‌طور مخفیانه در پس‌زمینه نصب شده و برای اتصال به سرورهای مدیریتی تحت کنترل مهاجم پیکربندی شده و به آنها دسترسی مدیریت از راه دور در رایانه قربانی را می‌دهد.

کسپرسکی خاطرنشان کرد که وقتی فایل اولیه VBScript از طریق واتس‌اپ وب تحویل داده می‌شود، باید دانلود شود، اما وقتی در کلاینت واتس‌اپ دسکتاپ باز می‌شود، می‌تواند مستقیماً از طریق Windows Script Host (wscript.exe) اجرا شود.

اگرچه کسپرسکی این حملات را به یک عامل تهدید خاص نسبت نداد، اما محققان نشانه‌هایی از همپوشانی استفاده از زبان چینی و زیرساخت‌ها با آی‌پی‌هایی که قبلاً با فعالیت «ValleyRAT» و «Gh0st RAT» مرتبط بوده‌اند، پیدا کرده‌اند.

با این حال، شواهد کافی برای احتمال انتساب با اطمینان بالا وجود ندارد.

به کاربران واتس‌اپ توصیه شد تا با فایل‌های ارسالی توسط مخاطبین، حتی افراد مورد اعتماد، با احتیاط رفتار و همیشه آنها را از طریق روش‌های ثانویه تأیید کنند.

تمام فایل‌های دانلود شده باید قبل از اجرا با یک آنتی‌ویروس به‌روز اسکن شوند.