هکرها از تصاویر برای پنهان کردن بدافزار، استقرار VIP Keylogger و 0bj3ctivity Stealer استفاده میکنند.
بر اساس گزارش HP Wolf Security Threat Insights برای سه ماهه سوم 2024، مجرمان سایبری تاکتیک های مخفیانه خود را با جاسازی کدهای مخرب در فایل های تصویری برای ارائه بدافزارهایی مانند VIP Keylogger و 0bj3ctivity Stealer به سطح بعدی می برند. برای توزیع بدافزار در حالی که روش های تشخیص سنتی را دور می زند.
فهرست مطالب
حمله چگونه کار می کند: بدافزار پنهان در تصاویر
این کمپین ها با یک ایمیل فیشینگ شروع می شوند که برای فریب قربانیان برای باز کردن پیوست های مخرب طراحی شده است . این ایمیلها اغلب از صورتحسابها یا سفارشهای خرید برای ایجاد اعتبار تقلید میکنند. پس از باز شدن، پیوست یک اکسپلویت برای آسیبپذیری قدیمی Microsoft Equation Editor ( CVE-2017-11882 ) برای دانلود یک فایل VBScript ایجاد میکند.
زنجیره حمله
- ایمیل فیشینگ : قربانیان یک ایمیل فریبنده حاوی پیوست های مخرب دریافت می کنند.
- اجرای VBScript : VBScript دانلود شده یک اسکریپت PowerShell را اجرا می کند.
- بازیابی تصویر : PowerShell یک تصویر را از Archive.org دانلود می کند.
- استخراج کد مخرب : تصویر حاوی بدافزار رمزگذاری شده با Base64 است که استخراج و در یک فایل اجرایی دات نت رمزگشایی می شود.
- تحویل بار : لودر دات نت آخرین بار بدافزار را نصب می کند.
در اولین کمپین، این محموله VIP Keylogger است، ابزاری که برای ضبط ضربههای کلید، محتوای کلیپبورد، اسکرینشاتها و اعتبارنامهها طراحی شده است. در کمپین دوم، محموله 0bj3ctivity Stealer است که یک بدافزار سرقت اطلاعات است.
کیتهای بدافزار مانع مهاجمان را کاهش میدهند
شباهت های بین این دو کمپین نشان می دهد که مجرمان سایبری از کیت های بدافزار استفاده می کنند. این کیت ها فرآیند حمله را ساده می کنند و تخصص فنی مورد نیاز برای اجرای زنجیره های عفونت پیچیده را کاهش می دهند. این روند منعکس کننده کالایی شدن فزاینده جرایم سایبری است، جایی که ابزارهای از پیش ساخته شده، استفاده از بدافزار را برای مهاجمان تازه کار آسان تر می کند.
تکنیک های اضافی در حال استفاده
HP Wolf Security همچنین قاچاق HTML را به عنوان یک تاکتیک مکمل شناسایی کرده است. در این روش، مهاجمان بدافزاری مانند XWorm RAT را با استفاده از قطره چکانهای AutoIt پنهان در فایلهای مخرب HTML تحویل میدهند. برخی از این فایلها با استفاده از ابزار GenAI تولید شدهاند و نشان میدهند که چگونه از هوش مصنوعی برای افزایش ارسال بدافزار و مبهمسازی استفاده میشود.
کمپین های GitHub Deliver the Lumma Stealer
یک کمپین قابل توجه دیگر شامل استفاده از مخازن GitHub بود که به عنوان منبعی برای تقلب های بازی های ویدیویی و ابزارهای اصلاح ظاهر می شدند. این مخازن مخفیانه بدافزار Lumma Stealer را از طریق قطره چکان های مبتنی بر دات نت توزیع می کردند و نشان می دادند که چگونه مهاجمان از پلتفرم های محبوب برای هدف قرار دادن کاربران ناآگاه سوء استفاده می کنند.
چرا حملات مبتنی بر تصویر تهدید آمیز هستند؟
جاسازی بدافزار در تصاویر تکنیکی است که به نام استگانوگرافی شناخته می شود که کدهای مخرب را در فایل های به ظاهر بی ضرر پنهان می کند. این روش بسیاری از سیستم های آنتی ویروس را دور می زند، که کمتر احتمال دارد فایل های تصویری را بررسی کنند. استفاده از پلتفرم های میزبانی قابل اعتماد مانند Archive.org تلاش های شناسایی را پیچیده تر می کند.
استراتژی های کاهش برای سازمان ها
برای دفاع در برابر این تهدیدات در حال تحول، سازمان ها باید اقدامات زیر را اجرا کنند:
- آسیب پذیری های شناخته شده را اصلاح کنید : آسیب پذیری های نرم افزار قدیمی مانند CVE-2017-11882 را برطرف کنید.
- فعال کردن تشخیص تهدید پیشرفته : از راهحلهایی استفاده کنید که قادر به تشخیص استگانوگرافی و رفتار فایل مشکوک هستند.
- آموزش کارکنان : کارکنان را آموزش دهید تا ایمیل های فیشینگ را تشخیص دهند و از باز کردن پیوست های غیرمنتظره خودداری کنند.
- محدود کردن دسترسی به منابع مورد اعتماد : استفاده از پلتفرم های اشتراک گذاری فایل را به دامنه های تایید شده محدود کنید.
کالایی شدن فزاینده جرایم سایبری
همانطور که کیتهای بدافزار در دسترستر میشوند، مهاجمان با تمام سطوح مهارت میتوانند زنجیرههای عفونت موثر را جمعآوری کنند. ادغام ابزارهای هوش مصنوعی در ایجاد بدافزار چالش را برای مدافعان امنیت سایبری تشدید میکند و حملات را متنوعتر و سختتر میکند.
یافتههای HP Wolf Security بر ضرورت جلوتر ماندن از این تهدیدات در حال تحول تأکید دارد. با اتخاذ استراتژیهای دفاعی فعال و نظارت بر تاکتیکهای نوظهور، سازمانها میتوانند بهتر از شبکههای خود در برابر این کمپینهای پیچیده محافظت کنند.