هشدار درباره رایانامه‌های فیشینگ پس از انتخابات آمریکا

۷تنها چند ساعت پس از این‌که دونالد ترامپ کارگزار انتخاباتی ریاست جمهوری ایالات‌متحده را به نفع خود به پایان رساند، یک گروه نفوذ با راه‌اندازی حملات سایبری اتاق‌های فکر آمریکایی را هدف قرار داده‌ است. گروه از یک پویش فیشینگ نیزه‌ای جدید استفاده کرده‌اند تا قربانیان را در نصب بدافزار فریب دهند.

گروه نفوذی که با نام Cozy Bear ،APT۲۹ و CozyDuke شناخته می‌شود اخیراً در نقض داده کمیته ملی حزب دموکرات نقش داشته و گفته می‌شود به دولت روسیه وابسته است. شرکت امنیتی Volexity نیز گزارش داده است روز چهارشنبه یک گروه از نفوذگران بار دیگر رایانامه‌های فیشینگ را به اهدافی ارسال کردند که با نهاد‌های غیردولتی NGO و یا اتاق‌های فکر مرتبط بوده‌اند.

این رایانامه‌های فیشینگ که از حساب‌های کاربری جیمیل و حساب‌های رایانامه متعلق به دانشکده هنر دانشگاه هاروارد ارسال شده‌ بودند، سعی داشتند کاربر را مجاب کنند پیوست ارسالی را که حاوی بدافزار بوده باز کرده و بر روی پیوند‌های مخرب کلیک کند. به‌محض این‌که قربانی در این دام می‌افتد، این رایانامه فیشینگ نسخه از بدافزار دربِ پشتی با نام PowerDuke را نصب می‌کند. این بدافزار به مهاجمان امکان دسترسی از راه دور می‌دهد. PowerDuke هم به لحاظ آلودگی و هم از نظر پنهان کردن فعالیت خود، بدافزار پیشرفته‌ای محسوب می‌شود. بدافزار مذکور علاوه بر استفاده از راهکارهای مختلف، کد دربِ پشتی خود را در قالب پرونده‌های PNG مخفی می‌سازد.

Volexity دست‌کم ۵ مورد حملات فیشینگ را گزارش کرده است که کارمندان سازمان‌هایی از جمله رادیو آزاد اروپا، شرکت RAND، شورای آتلانتیک و وزارت امور خارجه را هدف قرار داده‌اند. «۳ مورد از این ۵ حمله پیوندهایی را برای بارگیری پرونده‌ها برای قربانیان ارسال کرده است. ۲ مورد حمله دیگر نیز اسنادی را شامل می‌شده است که ماکروهای مخرب داشته‌اند.»

همه رایانامه‌های فیشینگ قالب انتخاباتی داشته‌اند،‌ چرا؟ پس از این‌که دونالد ترامپ توانست رئیس‌جمهور آمریکا شود، نیمی از مردم آمریکا به همراه بسیاری کشورهای دیگر از این نتیجه راضی نبوده و درباره نحوه انتخاب او کنجکاو بودند؛ به‌طوری‌که جستجوهایی این‌چنینی در گوگل رخ داده‌اند: چگونه ترامپ توانست انتخابات را ببرد؟ آیا در انتخابات تقلب صورت گرفته است؟ چرا هیلاری کلینتون نتیجه انتخابات را واگذار کرد؟

نفوذگران از این کنجکاوی برای هدف قرار دادن قربانیان خود استفاده کرده‌اند. دو مورد از رایانامه‌های ارسالی ادعا کرده‌اند از ستاد انتخاباتی کلینتون ارسال شده‌ و اطلاعاتی درباره انتخابات دارند. دو مورد گفته بودند اسنادی را درباره تقلب در انتخابات دارند. نمونه آخر نیز پیوندی به یک PDF را با عنوان «چرا انتخابات آمریکا ناقص است» به قربانیان ارسال کرده است.

برخی از رایانامه‌های فیشینگ از طریق رایانامه یکی از اساتید دانشگاه هاروارد ارسال شده است که به نظر می‌رسد مهاجمان با نفوذ در رایانامه او این کار را کرده‌اند. رایانامه‌های ارسالی شامل پرونده‌های ZIP. و یا میانبرهای ویندوزی مخربی بوده‌اند که کاربر را به یک سند متنی و یک اسکریپت PowerShell هدایت می‌کرده‌اند. به‌محض اینکه قربانی بر روی پرونده مخرب کلیک می‌کند، اسکریپت مذکور PowerDuke را بر روی رایانامه کاربر نصب کرده و به مهاجمان اجازه می‌دهد کنترل سامانه هدف را در اختیار بگیرند. این بدافزار قادر است به‌طور پنهانی پرونده‌های مخرب دیگری را نیز بارگیری کرده و از شناسایی محصولات ضدویروس بگریزد.

شرکت امنیتی CrowStrike نیز پیش از این در ژوئن ۲۰۱۶ ادعا کرده‌ بود گروه نفوذ Cozy Bear به شبکه‌های کاخ سفید، وزارت امور خارجه و ستاد مشترک ارتش نفوذ کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter