شما اینجا هستید
سایت خبری وان سرت » » ویژه خبری » نصب بدافزار از طریق هشداری امنیتی

به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، مراجع صدور گواهی دیجیتال (Certificate Authority - CA) با صادر کردن گواهینامه‌های امنیتی SSL/TLS، وظیفه تضمین انطباق صاحب دامنه فراخوانی شده در مرورگر کاربر با صاحب ثبت شده در گواهینامه را بر عهده دارند. تضمینی که در امن و معتبر کردن تبادلات در بستر اینترنت به‌خصوص در سرویس‌های تجارت الکترونیک نقشی اساسی دارد.
پیش‌تر نیز مواردی از بهره‌جویی و کلاهبرداری از گواهینامه‌های دیجیتال گزارش شده بود و حتی در نمونه‌ای تبهکاران سایبری با جا زدن خود به‌عنوان مدیر شرکت‌های معروف اقدام به دریافت گواهینامه از این مراجع و استفاده از آن در بدافزارهای خود کرده بودند. اما در این تکنیک جدید از سازوکار اعتماد کاربر به گواهینامه سوءاستفاده می‌شود.
در گزارشی که شرکت Kaspersky آن را منتشر کرده مهاجمان از این تکنیک در انواع مختلف سایت‌ها – از باغ وحش گرفته تا فروش الکترونیکی قطعات وسایل نقلیه – بهره گرفته‌اند. این شرکت تاریخ شناسایی نخستین نمونه آن را ۱۶ ژانویه اعلام کرده است.
کاربر در زمان باز کردن یکی از این سایت‌های تسخیر شده با صفحه‌ای مشابه با شکل زیر روبرو می‌شود.


در پیام هشدار نمایش داده شده وانمود می‌شود که گواهینامه امنیتی سایت منقضی شده است. حتی در صورت صحیح بودن این ادعای دروغین، رفع آن دغدغه‌ای برای صاحب دامنه خواهد بود. حال آنکه اینطور القا می‌شود که برای ادامه کار، کاربر ملزم به نصب یک به‌روزرسانی گواهینامه امنیتی بر روی سیستم خود است.
پیام در iframe که کل صفحه را فراگرفته جاسازی شده و در حالی که محتوا توسط یک اسکریپت jquery.js، از سرور فرماندهی (C۲) ثالث فراخوانی می‌شود اما از آنجایی که در نوار آدرس همچنان نشانی دامنه اصلی نمایش داده می‌شود، معتبر بودن پیام برای کاربر ناآگاه بسیار قابل باور خواهد بود. به‌عبارت دیگر بجای نمایش محتوای صفحه اصلی، کاربر در همان سایت با این پیام جعلی که به‌صورت اضطراری نصب یک به‌روزرسانی گواهینامه را الزام می‌کند روبرو می‌شود.
در صورتی که کاربر بر روی دگمه Install کلیک کند دریافت فایلی با نام Certificate_Update_v۰۲,۲۰۲۰.exe آغاز می‌شود. در ادامه با اجرای فایل مذکور یکی از دو بدافزار Mokes یا Buerak بر روی سیستم نصب می‌شود.
Mokes یک بدافزار پیچیده درب‌پشتی است که بر روی macOS و Windows قابل اجراست. این بدافزار قادر به اجرای کد، تصویربرداری و سرقت اطلاعات و فایل‌ها از روی سیستم قربانی است؛ Mokes ضمن ماندگار کردن خود بر روی دستگاه، از رمزگذاری AES-۲۵۶ به‌منظور مخفی کردن فعالیت‌های مخربش استفاده می‌کند.
Buerak نیز یک بدافزار تحت Windows است که قابلیت‌های اجرای کد، دست‌درازی به پروسه‌های اجرا شده، سرقت محتوا، ماندگار کردن از طریق کلیدهای محضرخانه (Registry) و شناسایی تکنیک‌های تحلیلی و سندباکس را دارا می‌باشد.
همچنین یکی از مراجع صدور گواهی دیجیتال با نام Let's Encrypt از قصدش برای باطل کردن بیش از سه میلیون گواهینامه به دلیل وجود باگی در کد پس‌زمینه بستر خود خبر داده است. سوءاستفاده از این باگ منجر به نادیده گرفته شدن برخی مشخصه‌ها در فرایند اعتبارسنجی می‌شود. اگرچه خطای برنامه‌نویسی مذکور اکنون مرتفع شده اما صاحبان دامنه‌های متأثر از آن باید مجدداً برای دریافت گواهینامه جدید اقدام کنند.


نشانه‌های آلودگی (IoC):


هش:

B۳۲۹۰۱۴۸۶۸۱F۸۲۱۸ECB۸۰CA۴۳۰F۹FDBA
CE۱۹۳۱C۲EB۸۲B۹۱ADB۵A۹B۹B۱۰۶۴B۰۹F
۰۹۴ADE۴F۱BC۸۲D۰۹AD۴E۱C۰۵۵۱۳F۶۸۶D
F۸۶۹۴۳۰B۳۶۵۸A۲A۱۱۲FC۸۵A۱۲۴۶F۳F۹D
۵FB۹CB۰۰F۱۹EAFBF۵۷۸AF۶۹۳۷۶۷A۸۷۵۴
۴۷C۵۷۸۲۵۶۰D۲FE۳B۸۰E۰۵۹۶F۳FBA۸۴D۳

سرور فرماندهی: 

(kkjjhhdff[.]site (۴۷,۲۴۵.۳۰[.]۲۵۵
oderstrg[.]site
منابع:

شما هم می توانید دیدگاه خود را ثبت کنید

کامل کردن گزینه های ستاره دار (*) الزامی است -
آدرس پست الکترونیکی شما محفوظ بوده و نمایش داده نخواهد شد -

ارسال نظر

نام:*
ایمیل:*
متن نظر:
کد را وارد کنید: *
عکس خوانده نمی شود
 

اخبار و آموزش امنیت سایبری | ارزش افزوده | فیشینگ | سایت های قمار و شرط بندی | حملات سایبری | آسیب پذیری