روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ محققین ما نسخه جدیدی از بدافزار متعلق به خانواده داکتیل[1] را کشف کردند. مجرمان سایبری از این بدافزار برای هدف قرار دادن کارمندان شرکت که یا دارای سِمَتهای نسبتاً ارشد هستند و یا در بخش منابع انسانی، بازاریابی دیجیتال یا بازاریابی رسانههای اجتماعی کار میکنند استفاده میکنند. هدف نهایی آنها سرقت اکانتهای تجاری فیسبوکی است پس منطقی است که مهاجمین به آنهایی علاقه داشته باشند که بیشترین دسترسی را به این اکانتها دارند. امروز قصد داریم در این مقاله از نحوه اتفاق افتادن این حمله، اینکه چرا این بدافزار عجیب و غریب عمل میکند و چطور باید از خود در مقابل آن محافظت کرد با شما گفتهایم. با ما همراه بمانید.
دام و پیلود مخرب
آنچه دستهای پشت پرده داکتیل انجام می دهند ارسال آرشیو مخرب به قربانیهای احتمالی است. برای خواب کردن گیرنده، آرشیوها حاوی دامی هستند در قالب تصاویر و فایلهای ویدیویی مبتنی بر تم در مورد یک موضوع مشترک. برای مثال تم بیشتر کمپینهای اخیر (از مارس تا اوایل اکتبر 2023) فشن بود: ایمیلها به نام مهرههای سنگین صنعت مد با آرشیوهایی حاوی عکسهایی از آیتمهای پوشاک فرستاده شد. با این حال، داخل این آرشیوها همچنین فایلهای قابل اجرا هم بود. این فایلها آیکونهای پی دیاف و فایل نامهای بلندی داشتند که برای دور کردن توجه قربانی از افزونه exe بود. افزون بر این، به نظر میرسید نام فایلهای تقلبی با دقت زیادی مرتبط انتخاب شده بود تا گیرنده متقاعد شود روی آنها کلیک کند. در کمپین مبتنی بر تم، نامها به گایدلاینها و الزامات کاندیدا اشاره میکردند اما سایر دامها مانند فهرست قیمت یا پیشنهادات تجاری نیز استفاده میشدند.
بعد از کلیک روی فایل exe مبدل، اسکریپت مخرب روی دستگاه هدف اجرا میشود. اول محتواهای برخی فایلهای پی دیاف را در کد بدافزار نمایش میدهد امید بر اینکه قربانی از ماجرا بویی نبرد و در عین حال، بدافزار همه میانبرهای روی دسکتاپ را –منوی استارت- و نوار ابزار کوئیک لانچ را اسکن میکند. بدافزار که به دنبال میانبرهایی برای مرورگرهای مبتنی بر Chromium، مانند Google Chrome، Microsoft Edge، Vivaldi، Brave... بود، با پیدا کردن یکی از آنها، خط فرمان خود را با افزودن دستورالعملی برای نصب یک پسوند مرورگر، که در فایل اجرایی نیز تعبیه شده است، تغییر میدهد.
افزونه مخرب مرورگر
پس از اینکه کاربر روی میانبر کلیک کرد، یک افزونه مخرب در مرورگر نصب میشود، جایی که به طور متقاعدکنندهای به عنوان Google Docs Offline با استفاده از آیکون و توضیحات دقیقاً مشابه ظاهر میشود (البته فقط به زبان انگلیسی، که میتواند در برخی مناطق جعل را از بین ببرد). پنج دقیقه بعد، اسکریپت مخرب فرآیند مرورگر را خاتمه داده و از کاربر میخواهد با استفاده از یکی از میانبرهای اصلاحشده، آن را مجددا راهاندازی کند. وقتی افزونه مخرب نصب و اجرا شد، شروع میکند به نظارت دائم همه تبها توسط کاربر در مرورگر و نیز ارسال اطلاعات در مورد آنها به سرور c2 مهاجمین. اگر پی ببرد که آدرسی از بین تبهای باز شده به فیسبوک ربط دارد، افزونه مخرب اول اکانتهای ads و business را چک کرده و بعد آنها را سرقت میکند. افزنه اطلاعات را از اکانتهای فیسبوکی (با لاگ شدن به دستگاه قربانی) و نیز کوکیهای سشن فعال را که در مرورگر ذخیره شدند (و میتوانند برای sign in کردن به اکانتها بدون احراز هویت استفاده شوند) میدزدد. گروه پشت بدافزار (طبق گزارشات) از سال 2018 فعال بوده است. برخی تیمهای تحقیقی بر این باورند که این گروه ماهیتی ویتنامی دارد. توزیع داکتیل این گروه از سال 2021 شروع شده است.
راهکارهای محافظتی
برای محافظت در برابر Ducktail و تهدیدات مشابه، کارکنان باید به سادگی بهداشت دیجیتال اولیه را رعایت کنند. به خصوص:
- هرگز آرشیوهای مشکوک را در کامپیوترهای کاری دانلود نکنید - به خصوص اگر لینکها از منابع نامعتبر آمده باشند.
- قبل از باز کردن فایل های دانلود شده از اینترنت یا ایمیل، پسوند آنها را به دقت بررسی کنید.
- هرگز روی فایلی که شبیه یک سند بی ضرر بوده، اما دارای پسوند EXE است، کلیک نکنید - این نشانه واضحی از بدافزار است.
- همیشه محافظ قابل اعتماد را روی همه دستگاههای کاری نصب کنید. این به شما در مورد خطر احتمالی هشدار و هر گونه حمله را به موقع شکست میدهد. راهکارهای ما این تهدید را با حکم HEUR:Trojan.Win64.Ducktail.gen شناسایی میکنند.
[1] Ducktail family
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
