روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ عاملین تهدید در حال اکسپلویت کردن اعتبارسنجی امضای دیجیتال مایکروسافت به منظور سرقت اطلاعات محرمانه کاربران و نیز سایر داده‌های حساس هستند. آن‌ها این کار را با ارسال بدافزار ZLoader که پیشتر برای توزیع باج‌افزارهای Ryuk و Conti استفاده می‌شد انجام می‌دهند. با ما همراه بمانید تا این تهدید سایبری را مورد بررسی قرار دهیم.

محققین در مرکز تحقیقاتی CPR گروه جرایم سایبری موسوم به Malsmoke را کشف کردند که پشت پرده‌ی این اقدام مخرب است. رد و نشان فعالیت این گروه به نوامبر 2021 برمی‌گردد. کوبی ایسانکرفت محقق بدافزار در CPR در این باره چنین نوشته است، «آنچه ما پیدا کردیم کمپین جدید ZLoader است که کارش اکسپلویت اعتبارسنجی امضای دیجیتال مایکروسافت است و هدفش هم سرقت اطلاعات حساس کاربران می‌باشد. افراد می‌بایست این را بخوبی بدانند که نمی‌توانند فوراً به امضای دیجیتال فایلی اعتماد کنند».

مهاجمین تا همین الان مدعی هستند 2170 قربانی منحصر به فرد در 111 کشور دارند که عمدتاً در ایالات متحد آمریکا، کانادا و هند هستند. افزون بر این مجرمان سایبریِ پس این ماجرا در حال آپدیت کردن متودهای خود به صورت هفته‌ای هستند. کمپین آن‌ها مدام در حال تغییر و فعالیت است. ZLoader در واقع یک تروجان بانکی است که از تزریق وب برای سرقت کوکی‌ها، رمزعبورها و سایر اطلاعات حساس از دستگاه قربانیان استفاده می‌کند. سپتامبر 2021 بود که این تروجان توجه CISA[1] را به خود جلب کرد؛ آن هم بعنوان تهدیدی در توزیع باج‌افزار Conti.

همچنین برای تحویل باج‌افزار Ryuk نیز از آن استفاده شده است. مهاجمین همچنین از ZLoader بعنوان پی‌لودی در چندین کمپین اسپیرفیشینگ استفاده کرده از جمله یکی از همین کمپین‌ها در تاریخ مارس 2020 که هدفش سوءاستفاده از پاندمی کووید 11 بود. در تاریخ سپتامبر 2021، مهاجمین ZLoader را از طریق Google AdWords در کمپینی که از مکانیزمی برای غیرفعال کردن همه ماژول‌های ویندوز دیفندر روی ماشین‌های قربانیان استفاده کرده بود توزیع کردند.

جاعلین جاوا

Malsmoke پیشتر (نوامبر 2021) از ZLoader برای به دام انداختن افرادی استفاده می‌کرد که از سایت‌های مستهجن دیدن می‌کردند. کمپین آن زمانشان هم کارش ارسال این تروجان از طریق آپدیت‌های تقلبی جاوا بود. آخرین کمپین این گروه همچنین در بردار حمله خود به جاوا نیز رخنه کرد و ابتدا نقشه شومش را با نصب یک برنامه مدیریت از راه دور که نصب جاوا را جعل می‌کرد جلو برد. وقتی این اتفاق می‌افتد در واقع مهاجم دسترسی کامل به سیستم پیدا می‌کند و قادر خواهد بود فایل‌ها را آپلود/دانلود کرده و نیز اسکریپت‌هایی را اجرا نماید. در آخر مهاجمین فایلی را به نام mshta.exe به همراه یک فایل appContast.dll–که در فایل معتمد مایکروسافت ظاهر می‌شود- اجرا می‌کند تا بدین‌ترتیب پی‌لود ارسال شود.

بر اساس گزارشات، «appContast.dll  توسط مایکروسافت امضا می‌شود؛ هرچند اطلاعات بیشتری به انتهای این فایل افزوده شده باشد. اطلاعات افزوده‌شده، پی‌لود نهایی Zloader را دانلود و اجرا می‌کند و بدین‌ترتیب اطلاعات حساس کاربری و داده‌های شخصی قربانیان سرقت می‌شود». مهاجمین برای دور زدن مکانیزم‌های شناسایی تلاش‌های بی‌وقفه‌ای کردند و همین باعث شده سخت بتوان این کمپین آلوده را شناسایی نمود. CPR به مایکروسافت و Atera که سازنده این ابزار نظارت و مدیریت ریموت است در این مورد هشدار داد و یافته‌های خود را با آن‌ها به اشتراک گذاشت. CPR توصیه می‌کند کاربران مایکروسافت برای تأیید احراز کد از آپدیت این شرکت استفاده کنند تا به دام این کمپین مخرب نیافتند زیرا این آپدیت به طور پیش‌فرض به کار گرفته نمی‌شود. ایسانکرفت همچنین پیشنهاد داده است که افراد برای جلوگیری از نصب برنامه‌ها از منابع یا سایت‌های ناشناس، کلیک روی لینک‌های غیرآشنا یا باز کردن پیوست‌های ناشناس که در ایمیل‌ها دریافت می‌کنند از اقدامات اولیه محافظت امنیت استفاده کنند.

[1] Cybersecurity Infrastructure and Security Agency

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.