کاربران آمازون قربانی حملات فیشینگ

به گزارش واحد متخصصین سایبربان؛ مشتریان آمازون مورد هدف حمله‌ی بزرگ فیشینگ قرار گرفتند که در آن دریافت‌کنندگان، اسناد مایکروسافت Word را به همراه یک ماکرو در درون آن به‌عنوان ضمیمه رایانامه دریافت می‌کردند و درنتیجه‌ی باج‌افزار Locky بر روی دستگاه آن‎ها نصب می‌شد. محققان آزمایشگاه تحقیقات تهدید کومودو می‌گویند که این‌یکی از بزرگ‌ترین حملات فیشینگ باج‌افزار امسال بوده است. 

فاتح اورهان مدیر فناوری شرکت کومودو و آزمایشگاه تحقیقات تهدید این شرکت گفته است که این حمله روز ۱۷ ماه می ‌رخ‌داده و حدود ۱۲ ساعت طول کشیده است و برآورد شده که در آن بیش از ۳۰ میلیون پیام هرزنامه که وانمود می‎شده یک به‎روزرسانی از آمازون برای ارسال سفارش هستند، فرستاده‌شده‌اند. اورفان به Threatpost گفته است که حمله فیشینگ نه‌تنها به خاطر حجم و اندازه‌ی آن قابل‌توجه است بلکه به خاطر اینکه مهاجمان می‌توانسته‌اند سرآیند رایانامه‌ها را دست‌کاری کرده تا کاربران را تحت تأثیر قرار دهند. هرچند این روش‎ها با کنترل‎هایی که روی درگاه ارسال‌کننده و چارچوب‎های اعمال قوانین بررسی شد و قابل‌تشخیص است.

همچنین موج این پیام‌های مخرب توسط محققان شرکت Proofpoint نیز مشاهده‌شده است که پیام‌های جعلی فرستاد شده از سوی آمازون را در حدود ۱۰۰ میلیون مورد برآورد کرده‌اند. شرکت پروف پوینت گفته است که حمله باج‌افزار Locky از کارگزارهای رایانامه‌ی آمریکا تا اروپا منتشرشده است و شامل ضمیمه‌های آلوده اسناد مایکروسافت ورد و ضمیمه‌های جاوا اسکریپت مربوط به باج‌افزار Locky بوده است. 

اورفان گفته است که تمام موارد مربوط به سرآیند رایانامه برای گیرنده، قانونی به نظر می‌آمده است. بنا به اظهارات محققان کومودو گیرندگان در این حمله‌ی هزرزنامه، رایانامه‌هایی از نشانی

auto-shipping@amazon.com 

با این موضوع که «سفارش Amazon.com برای شما ارسال‌شده است» دریافت می‌کرده‌اند؛ اما در داخل این رایانامه چیزی نوشته‌نشده و تنها در ضمیمه‌ی آن‌یک پرونده مایکروسافت Word آلوده الصاق شده است. از کسانی که این سند مایکروسافت Word را بازکرده‌اند، بلافاصله خواسته‌شده که ماکروهایی را برای دیدن محتوای اسناد فعال کنند. سپس دریافت‌کنندگانی که این ماکروها را فعال کرده‌اند گرفتار بارگیری و نصب باج‎افزار Locky شده و پرونده‎های آن‌ها رمزنگاری‌شده است. 

 حمله‌ی رایانامه‌ای باج‌افزار Locky منحصربه‎فرد نیست و شرکت‌های امنیتی مشابه آن را از ابتدای سال ۲۰۱۶ مشاهده و ثبت کرده‌اند. محققان امنیتی در شرکت تراست‌ ویر در ماه مارس رشد عظیمی را در توزیع باج‌افزار Locky مشاهده کردند که از طریق حمله‌ی هرزنامه منتشر می‌شد و بار داده‎ی آن شامل پیوست‌های جاوا اسکریپت بود. حمله‌ی باج‌افزار آمازون هم یکی دیگر از این روندهاست که تجدید حیات به‌کارگیری از ماکروهای مایکروسافت Word را در انجام حملات نشان می‌دهد. 

به گفته‌ی محققان شرکت Palo Alto حملات ماکرو رو به افزایش هستند. ریان اولسون  محقق شرکت شبکه‌های Palo Alto در مصاحبه‌ای با Threatpost هفته گذشته گفته است که «ما فکر می‌کنیم که حملات مبتنی بر ماکرو در حال ظهور دوباره و تجدید حیات خود از دهه‌ی ۱۹۹۰ هستند. افراد بسیار زیادی هستند که به خاطر نمی‌آورند این ماکروها تا چه میزان خطرناک بوده‌اند و هنوز یاد نگرفته‌اند که نباید هرگز به این ماکروها اعتماد کنند مگر اینکه صد در صد منبع آنان قابل‌اعتماد باشد.»

آزمایشگاه تحقیقاتی کومودو گفته است که حمله هرزنامه‌های آمازون شامل بات‌نت‌های ارسال هرزنامه می‌شود که بر روی دستگاه‌های مجازی ربوده‌شده و رایانامه‌های شخصی مصرف‌کنندگان اجرا می‌شود. باج خواسته‌شده به‌طور متوسط مابین ۰.۵ تا ۱ بیت‌کوین (۲۲۷ تا ۴۵۴ دلار) برای هرکدام از دستگاه‌های آلوده‌شده است. اورفان می‌گوید: «این گروه از عوامل ناشناخته سطح بسیاری بالایی را از توانایی جعل رایانامه به نمایش گذارده‌اند، به‌ویژه هنگامی‌که به جعل نام دامنه اقدام کرده‌اند. دریافت‌کنندگانی که این رایانامه‌ها به دستشان رسیده است، سرنخی نداشته‌اند تا بفهمند این‌ها از سوی آمازون ارسال نشده است». 

 او می‌گوید که باوجودی که این حمله مشتریان آمازون را هدف قرار داده است، اما منحصر به آن‎ها نیست و موج این هرزنامه‌ها هرکسی را که بر روی این پرونده پیوست Word کلیک کند، هدف قرار خواهد داد. 

هنگامی‌که از آمازون پرسیده شد که مشتریان این شرکت حوادثی را در ارتباط با این حمله گزارش داده‌اند، این شرکت پاسخی به درخواست Threatpost ارسال نکرده است. آزمایشگاه تحقیقاتی کومودو گفته است که هیچ راهی نیست تا دریابیم چه تعداد از افراد ممکن است قربانی این حمله‌ی هرزنامه‌ شده باشند.