آسیب‌پذیری روز-صفرم ویندوز در حملات مالی استفاده می‌شود!

برخی از حملاتی که در ماه مارس توسط عوامل تهدیدی که انگیزه مالی داشته‌اند علیه سازمان‌های آمریکای شمالی رخ داده است که شامل آسیب‌پذیری روز-صفرم در افزایش سطح دسترسی بوده و بر سامانه‎عامل ویندوز تأثیر می‌گذارد.
به گفته شرکت فایرآی، این گروه پیچیده سایبری، به بیش از ۱۰۰ شرکت حمله کرده است که اکثر آن‎ها از شرکت‌های خرده‌فروشی، هتلداری و رستوران‌ها هستند.
مهاجمان از رایانامه‌های فیشینگ و اسناد مایکروسافت وردی که دارای ماکرو بوده‌اند برای انتشارPUNCHBUGGY یک پرونده‎ی بارگیری کننده‌ی DLL استفاده کرده‌اند که به آنها اجازه می‌دهد تا با سامانه‌های به خطر افتاده تعامل داشته و به صورت جانبی در شبکه‌ی قربانی حرکت کنند.
این گروه، ‌همچنین از یک بدافزار پایانه فروش (PoS) که توسط فایرآی به نام PUNCHTRACK نامگذاری شده استفاده کرده‌اند تا داده‌های مربوط به پرداخت کارت‌های اعتباری را از دستگاه‌های آلوده سرقت کنند. محققان اشاره کرده‌اند که این بدافزار توسط یک راه‌انداز مبهم بارگیری شده و اجرا می‌شود و به گونه‌ای طراحی شده که هرگز سطح دیسک دستگاه را لمس نمی‌کند.
در برخی از این حملات که فایرفاکس در ماه مارس مشاهده کرده است، عوامل این تهدید بر آسیب‌پذیری افزایش امتیاز دسترسی در ویندوز (CVE-۲۰۱۶-۰۱۶۷) تکیه کرده‌اند که تا به این لحظه هنوز نامشخص است. این شرکت امنیتی گزارش داده است که یک بهره‌برداری روز-صفرم را در حملات محدود هدفمند این گروه در تارخ ۸ مارس مشاهده کرده است.
مایکروسافت این حفره را در تاریخ ۱۲ آوریل با بولتن MS۱۷-۰۳۹ پوشش داده بود و علاوه بر این ویندوز را در برابر حملات مشابه با به‎روزرسانی منتشر شده در این هفته (MS۱۶-۰۶۲) تقویت کرده است.
محققان می‌گویند که مهاجمان در ابتدا سامانه‌های هدف را آلوده کرده و از طریق پیوست‌های آلوده اسناد در رایانامه‌های فیشینگ، به اجرای کد از راه دور دست می‎زنند و سپس از بهره‌برداری CVE-۲۰۱۶-۰۱۶۷ برای اجرای کد در سطح بالای دسترسی سامانه استفاده می‌کنند.
فایرآی این گروه و فعالیت‎های آن را در سال گذشته مورد بررسی قرار داده است و مشخص کرده که این تنها گروه تهدیدی است که از بارگیری کننده PUNCHBUGGY و بدافزار پایانه فروش PUNCHTRACK در عملکردهای خود استفاده می‌کند.
محققان فایرآی در پست وبلاگ خود نوشته‌اند: «این عوامل تهدید، عملکردهای خود را در مقیاسی وسیع و با سرعتی بسیار بالا انجام می‌دهند که نشان‎دهنده سطحی از هوشیاری عملیاتی و توانایی سازگاری بالا است. این توانایی‌ها در ترکیب با استفاده‌ی هدفمند از بهره‌برداری افزایش سطح دسترسی و شناسایی‌های مورد نیاز جداگانه برای ارسال رایانه‌های فیشینگ به قربانیان، بلوغ این گروه تهدید را در پیچیدگی آن‎ها در انجام عملیات‌ها نشان می‌دهد».
این تنها گروه پیچیده مجرمان سایبری نیست که به وسیله فایرآی بررسی شده‌اند. ماه گذشته، این شرکت فعالیت‌های یک گروه تهدید را با عنوان «FINE۶» که میلیون‌ها سابقه کارت‌های پرداخت را از سامانه‌های پایانه فروش PoS سرقت می‌کردند، تشریح کرد. کارشناسان معتقد هستند که FINE۶ می‌تواند سود قابل توجهی را با فروش اطلاعات به سرقت رفته در بازارهای زیرزمینی کسب کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]