اعلانهای جعلی؛ ترفند جدید بدافزار BazaLoader
بررسی محققان امنیتی نشان میدهد که اخیراً گردانندگان بدافزار Bazaloader با ارسال اعلانهای جعلی، راهبران سایتها را فریب میدهند تا فایلهای مخرب را باز کنند. در نوعی از این اعلان، آنها ادعا میکنند که از طریق سایت راهبران، حملات DDoS (منع سرویس توزیع شده) صورت گرفته است. در نوع دیگری از این اعلانها، گردانندگان بدافزار به راهبران سایت هشدار میدهند که به علت کپی تصاویر، قانون کپیرایت (Digital Millennium Copyright Act – به اختصار DMCA) را نقض کردهاند.
در هر دوی این ترفندها، هدف یکسان است و گردانندگان بدافزار Bazaloader از فرمهای تماس برای انتقال بدافزاری که اغلب برنامه Cobalt Strike را اجرا میکند و میتواند منجر به سرقت اطلاعات یا حمله باجافزاری شود، استفاده میکنند.
شرکت مایکروسافت (Microsoft Corp) در مورد این روش انتشار در ماه آوریل، زمانی که مجرمان سایبری از آن برای انتقال بدافزار IcedID استفاده کرده بودند، هشدار داده بود. بدافزارهای اخیر نیز از روشی مشابه استفاده میکنند، فقط کد بدافزاری و ترفند خود را تغییر دادهاند. یکی از محققان حوزه توسعه و طراحی سایت در هفته اخیر گزارش داده که دو نفر از مشتریانش اخطارهایی به ظاهر قانونی دریافت کردهاند مبنی بر اینکه از جانب سایتهای آنها حملات DDoS علیه یک شرکت بزرگ صورت گرفته است.
در ادامه، اعلان این مهاجمان که حاوی یک متن تهدید جعلی به ظاهر قانونی و لینک فایل دیگری در پوشهای از Google Drive است، مشاهده میشود. در فایل log ارسالی در این پیام، ادعا شده که حاوی شواهدی است مبنی بر اینکه حمله از جانب سایت راهبران صورت گرفته است. علاوه بر این، گردانندگان این بدافزار در این اعلان، ادعا میکنند که لینک موجود در این پیام حاوی دستورالعمل مفصلی میباشد است که منشأ حمله DDoS در آن نشان داده شده و نحوه برخورد ایمن، کشف و پاکسازی دستی تمام فایلهای بدافزاری که منجر به حمله DDoS شده، را در آن ارائه کردهاند.
در این اعلان، راهبران و صاحبان سایت تهدید به اقدام قانونی شدهاند مگر اینکه آنها با مراجعه به لینک به اشتراک گذاشته شده در Google Drive، سایت خود را “بلافاصله” از فایلهای مخربی که در استقرار و اجرای حملات DDoS نقش داشتهاند، پاک کنند.
علاوه بر ترفند DDoS که برای فریب راهبران سایت بهکار گرفته میشود، گردانندگان بدافزار Bazaloader، در نوع دیگری از اعلانهای خود، به فایلی که ظاهراً حاوی شواهدی در مورد سرقت تصاویر است، لینک داده و در خصوص نقض قانون کپیرایت هشدار میدهند.
محقق امنیتی شرکت نرمافزاری پروفپوینت (Proofpoint, Inc) در توئیتی خاطرنشان کرده است که این پیامها در خصوص نقض حق کپی رایت از طریق فرم تماس سایت ارسال میشوند و بدافزار BazaLoader را از طریق فایل موجود در Google Drive منتشر میکنند.
به نقل از Bleeping computer، این پایگاه اینترنتی نیز طی چند ماه گذشته چندین مورد از این اعلانهای نقض قوانین کپی رایت را با ادعای استفاده از تصاویر بدون رضایت مالک دریافت کرده است. این پیام به یک فایل لینک میدهد که در آن ظاهراً فهرست تصاویر بدون اجازه استفاده شده را اعلام میکند. فایل مذکور در فضای ابری Google Firebase میزبانی میشود. برای اینکه موضوع خیلی مهم و اضطراری به نظر برسد، فرستنده پیام میگوید، احتمالاً صاحب سایت، مسئول خسارت قانونی تا سقف 120 هزار دلار است.
بررسی فایل مذکور توسط یکی از محققان در زمینه تحلیل بدافزار، نشان میدهد که این فایل JavaScript که بهصورت ZIP فشرده شده، DLL بدافزار BazaLoader را دریافت کرده و از طریق یک درب پشتی منسوب به گروه TrickBot اقدام به انتشار باجافزار میکند. سپس این بدافزار به سرورهای کنترل و فرماندهی (C2) متصل شده و Cobalt Strike را دریافت میکند. Cobalt Strike یک ابزار تست نفوذ است که به طور گسترده توسط مجرمان سایبری جهت ماندگاری و انتشار کدهای بدافزاری مورد استفاده قرار میگیرد.
همانطور که از نمونه اعلانهای بالا مشاهده میشود، این پیامها کاملاً قابل باور هستند و از اعتبار فرمهای تماس ایمیلی استفاده میکنند تا شانس دریافت نشان “ایمن” از محصولات امنیتی ایمیل را افزایش دهند.
توصیه میشود به منظور پیشگیری از افتادن در دام این مهندسی اجتماعی و ترفندهای بدافزاری، کاربران به نشانههایی از اهداف مخرب (نظیر اطلاعات تماس ناقص، دستور زبان و گرامر نادرست، لینکهای مشکوک) توجه داشته باشند.
