نماد سایت اتاق خبر شبکه گستر

اعلان‌های جعلی؛ ترفند جدید بدافزار BazaLoader

بررسی محققان امنیتی نشان می‌دهد که اخیراً گردانندگان بدافزار Bazaloader با ارسال اعلان‌های جعلی، راهبران سایت‌ها را فریب می‌دهند تا فایل‌های مخرب را باز کنند. در نوعی از این اعلان، آن‌ها ادعا می‌کنند که از طریق سایت راهبران، حملات DDoS (منع سرویس توزیع شده) صورت گرفته است. در نوع دیگری از این اعلان‌ها، گردانندگان بدافزار به راهبران سایت هشدار می‌دهند که به علت کپی تصاویر، قانون کپی‌رایت (Digital Millennium Copyright Act – به اختصار DMCA) را نقض کرده‌اند.

در هر دوی این ترفندها، هدف یکسان است و گردانندگان بدافزار Bazaloader از فرم‌های تماس برای انتقال بدافزاری که اغلب برنامه Cobalt Strike را اجرا می‌کند و می‌تواند منجر به سرقت اطلاعات یا حمله باج‌افزاری شود، استفاده می‌کنند.

شرکت مایکروسافت (Microsoft Corp) در مورد این روش انتشار در ماه آوریل، زمانی که مجرمان سایبری از آن برای انتقال بدافزار IcedID استفاده کرده بودند، هشدار داده بود. بدافزارهای اخیر نیز از روشی مشابه استفاده می‌کنند، فقط کد بدافزاری و ترفند خود را تغییر داده‌اند. یکی از محققان حوزه توسعه و طراحی سایت در هفته اخیر گزارش داده که دو نفر از مشتریانش اخطارهایی به ظاهر قانونی دریافت کرده‌اند مبنی بر اینکه از جانب سایت‌های آنها حملات DDoS علیه یک شرکت بزرگ صورت گرفته است.

در ادامه، اعلان این مهاجمان که حاوی یک متن تهدید جعلی به ظاهر قانونی و لینک فایل دیگری در پوشه‌ای از Google Drive است، مشاهده می‌شود. در فایل log ارسالی در این پیام، ادعا شده که حاوی شواهدی است مبنی بر اینکه حمله از جانب سایت راهبران صورت گرفته است. علاوه بر این، گردانندگان این بدافزار در این اعلان، ادعا می‌کنند که لینک موجود در این پیام حاوی دستورالعمل مفصلی می‌باشد است که منشأ حمله DDoS در آن نشان داده شده و نحوه برخورد ایمن، کشف و پاکسازی دستی تمام فایل‌های بدافزاری که منجر به حمله DDoS شده، را در آن ارائه کرده‌اند.

در این اعلان، راهبران و صاحبان سایت تهدید به اقدام قانونی شده‌اند مگر اینکه آنها با مراجعه به لینک به اشتراک گذاشته شده در Google Drive، سایت خود را “بلافاصله” از فایل‌های مخربی که در استقرار و اجرای حملات DDoS نقش داشته‌اند، پاک کنند.

 

 

علاوه بر ترفند DDoS که برای فریب راهبران سایت به‌کار گرفته می‌شود، گردانندگان بدافزار Bazaloader، در نوع دیگری از اعلان‌های خود، به فایلی که ظاهراً حاوی شواهدی در مورد سرقت تصاویر است، لینک داده و در خصوص نقض قانون کپی‌رایت هشدار می‌دهند.

محقق امنیتی شرکت نرم‌افزاری پروفپوینت (Proofpoint, Inc) در توئیتی خاطرنشان کرده است که این پیام‌ها در خصوص نقض حق کپی رایت از طریق فرم تماس سایت ارسال می‌شوند و بدافزار BazaLoader را از طریق فایل موجود در Google Drive منتشر می‌کنند.

به نقل از Bleeping computer، این پایگاه اینترنتی نیز طی چند ماه گذشته چندین مورد از این اعلان‌های نقض قوانین کپی رایت را با ادعای استفاده از تصاویر بدون رضایت مالک دریافت کرده است. این پیام به یک فایل لینک می‌دهد که در آن ظاهراً فهرست تصاویر بدون اجازه استفاده شده را اعلام می‌کند. فایل مذکور در فضای ابری Google Firebase میزبانی می‌شود. برای اینکه موضوع خیلی مهم و اضطراری به نظر برسد، فرستنده پیام می‌گوید، احتمالاً صاحب سایت، مسئول خسارت قانونی تا سقف 120 هزار دلار است.

 

 

بررسی فایل مذکور توسط یکی از محققان در زمینه تحلیل بدافزار، نشان می‌دهد که این فایل JavaScript که به‌صورت ZIP فشرده شده، DLL بدافزار BazaLoader را دریافت کرده و از طریق یک درب پشتی منسوب به گروه TrickBot اقدام به انتشار باج‌افزار می‌کند. سپس این بدافزار به سرورهای کنترل و فرمان‌دهی (C2) متصل شده و Cobalt Strike را دریافت می‌کند. Cobalt Strike یک ابزار تست نفوذ است که به طور گسترده توسط مجرمان سایبری جهت ماندگاری و انتشار کدهای بدافزاری مورد استفاده قرار می‌گیرد.

 

 

همانطور که از نمونه‌ اعلان‌های بالا مشاهده می‌شود، این پیام‌ها کاملاً قابل باور هستند و از اعتبار فرم‌های تماس ایمیلی استفاده می‌کنند تا شانس دریافت نشان “ایمن” از محصولات امنیتی ایمیل را افزایش دهند.

توصیه می‌شود به منظور پیشگیری از افتادن در دام این مهندسی اجتماعی و ترفندهای بدافزاری، کاربران به نشانه‌‌‌هایی از اهداف مخرب (نظیر اطلاعات تماس ناقص، دستور زبان و گرامر نادرست، لینک‌های مشکوک) توجه داشته باشند.

خروج از نسخه موبایل