هکرها دوست دارند قربانیان خود را فریب دهند تا کارهایی را انجام دهند که معمولاً انجام نمیدهند کمپین بدافزار در حال حاضر انجام تورهای آنلاین نمونه کاملی از این امر است.
همانطور که توسط Bleeping Computerهکرها از باگهای جعلی گوگل کروم، مایکروسافت ورد و مایکروسافت وان درایو برای فریب قربانیان احتمالی برای اجرای «رفعهای» مخرب PowerShell که در واقع بدافزار را نصب میکنند، استفاده میکنند.
این کمپین خاص آنقدر مؤثر است که چندین گروه هکر (از جمله کسانی که پشت آن هستند) ClearFakeیک گروه جدید به نام ClickFix و گروه TA571) از این در حملات خود استفاده می کنند.
در اینجا همه چیزهایی است که باید در مورد این کمپین بدافزار جدید بدانید و چگونه می توانید از قربانی شدن این حمله جلوگیری کنید. مهندسی اجتماعی از آن استفاده می کند تا شما را وادار کند که رایانه شخصی ویندوزی خود را با بدافزار آلوده کنید.
از اصلاح تا شکست
درست مانند کمپین های قبلی ClearFake، این کمپین جدید نیز پوشش ها برای نمایش خطاهای جعلی Chrome، Word و OneDrive. سپس از قربانیان احتمالی خواسته می شود که روی دکمه کپی حاوی یک “رفع” برای این خطاهای جعلی کلیک کنند. سپس این کد کپی شده باید در پنجره اجرای ویندوز یا فرمان Powershell قرار گیرد.
داخل گزارش جدید Proofpoint با برجسته کردن تمام زنجیره های حمله مختلف استفاده شده در این کمپین توضیح می دهد: وب سایت های در معرض خطر این نرم افزارها که یک اسکریپت مخرب میزبانی شده روی بلاک چین را با استفاده از قراردادهای زنجیره ای هوشمند بایننس نصب می کنند، همچنین برای آلوده کردن رایانه های شخصی ویندوزی آسیب پذیر با بدافزار استفاده می شوند.
این اسکریپت قبل از نمایش یک هشدار جعلی گوگل کروم مبنی بر وجود مشکل در نمایش صفحه وب مورد نظر، چندین بررسی انجام می دهد. از اینجا، یک کادر محاورهای از بازدیدکنندگان میخواهد تا با کپی کردن یک اسکریپت PowerShell و سپس اجرای آن در کنسول Windows PowerShell (Admin) یک «گواهی ریشه» را نصب کنند.
هنگام اجرا، این اسکریپت PowerShell بررسی های بیشتری را انجام می دهد تا مطمئن شود که دستگاه مورد نظر قبل از بارگیری بارهای اضافی، یک هدف معتبر است. بدافزار سرقت اطلاعات.
در نهایت، یک زنجیره عفونت مبتنی بر ایمیل نیز وجود دارد که از پیوست های HTML شبیه اسناد Word استفاده می کند. آنها از قربانیان احتمالی می خواهند که برای مشاهده یک سند یک پسوند «Word Online» را نصب کنند، اما مانند سایر زنجیره های حمله مورد استفاده در این کمپین، یک «اصلاح» حاوی دستور PowerShell باید کپی و در PowerShell جایگذاری شود.
در این زنجیره حمله، فرمان PowerShell یک فایل MSI یا یک اسکریپت VBS را دانلود و اجرا می کند که کامپیوتر مورد نظر را با بدافزار Matanbuchus یا DarkGate آلوده می کند.
چگونه می توانید از خود در برابر بدافزار ویندوز محافظت کنید؟
هر سه زنجیره حمله مختلف مورد استفاده در این کمپین بر این واقعیت متکی هستند که اکثر کاربران ویندوز از خطرات مربوط به اجرای دستورات ناشناخته PowerShell بر روی رایانه خود بی اطلاع هستند. بنابراین، هرگز نباید کد را کپی و اجرا کنید، مگر اینکه این کار را انجام دهید. قطعا میدانم چه کردی.
به همین ترتیب، شما همچنین می خواهید اطمینان حاصل کنید: Windows Defender فعال است و در رایانه شما اجرا می شود زیرا می تواند بدافزارهایی را که توسط این اسکریپت های مخرب PowerShell رها شده اند، شناسایی کند. اگر حتی می خواهید محافظت بیشتری داشته باشید، باید از یکی از موارد زیر نیز استفاده کنید: بهترین نرم افزار آنتی ویروس مجموعهها و همچنین ابزارهای امنیتی داخلی مایکروسافت، بهویژه از آنجایی که اغلب دارای امکانات اضافی هستند VPN یا مدیر رمز عبور.
وقتی صحبت از کمپین هایی مانند این می شود که از لایه ها برای فریب قربانیان احتمالی استفاده می کنند، می خواهید قبل از انجام هر کاری آنلاین متوقف شوید، لحظه ای وقت بگذارید و به همه چیز فکر کنید. هکرها اغلب سعی می کنند این کار را انجام دهند القای احساس فوریت آنها حمله می کنند تا شما را مجبور کنند بدون فکر عمل کنید. در عوض، باید هر پیامی را با دقت بخوانید و آنها را به صورت آنلاین جستجو کنید تا ببینید آیا واقعی هستند یا خیر. حتی اگر نمی توانید هیچ اطلاعاتی را به صورت آنلاین پیدا کنید، در بیشتر موارد بهترین کار این است که هیچ کاری انجام ندهید.
حملات Overlay بسیار موثر هستند زیرا اغلب به نظر می رسد که از نرم افزاری که استفاده می کنید می آیند. اما میتوانید با یادگیری نحوه عملکرد دستگاهها و دادههای خود و دانستن اینکه به چه مواردی باید توجه کنید، ایمن نگه دارید.
اطلاعات بیشتر از راهنمای تام
منبع: tomsguide
نظرات کاربران