طبق گزارش شرکت اطلاعات تهدید CTM360، در یک کمپین فعال بدافزاری بیش از 4000 گروه مخرب در Google Groups و حدود 3500 URL میزبانیشده روی سرویسهای گوگل مورد سوءاستفاده قرار گرفتهاند.
این کمپین، سازمانها و شرکتهای مختلف در سطح جهانی را هدف قرار داده و با تکیه بر اعتماد ذاتی کاربران به اکوسیستم Google، اقدام به توزیع بدافزارهای سرقت اطلاعات (Credential-Stealing Malware) میکند.
مهاجمان با درج نام سازمانها و کلیدواژههای صنعتی در پستهای خود، محتوایی ظاهراً معتبر تولید کرده و کاربران را به دانلود فایلهای مخرب ترغیب میکنند.
نحوه عملکرد کمپین بدافزاری در Google Groups
این کمپین با اجرای یک سناریوی مهندسی اجتماعی هدفمند در Google Groups آغاز میشود. مهاجمان با نفوذ به انجمنها و گروههای تخصصی مرتبط با صنایع مختلف، اقدام به انتشار محتوای فنی ظاهراً معتبر میکنند.
معمولاً پستهای منتشرشده شامل موضوعات زیر است:
- اختلالات شبکه (Network Issues)
- خطاهای احراز هویت (Authentication Errors)
- مشکلات پیکربندی نرمافزار (Software Configuration Issues)
این موارد باعث میشود محتوا برای کاربران واقعی و متخصص، طبیعی و قابل اعتماد به نظر برسد.
در ادامه، مهاجمان در دل این بحثهای فنی، لینکهای دانلود مخرب را با عناوین جعلی و مشابه نام سازمان درج میکنند؛ مانند:
“Download {Organization_Name} for Windows 10”
این تکنیک با سوءاستفاده از نام سازمانها و کلیدواژههای مرتبط با صنعت، سطح اعتماد کاربر را افزایش داده و احتمال کلیک و دانلود را بالا میبرد.
مهاجمان برای دور زدن سامانههای امنیتی و فیلترهای تشخیص تهدید، از کوتاهکنندههای URL (URL Shortener) یا زنجیرههای ریدایرکت (Redirect Chain) مبتنی بر سرویسهای Google Docs و Google Drive استفاده میکنند. این ریدایرکتها بهصورت هوشمند سیستمعامل قربانی را شناسایی کرده و بر اساس ویندوز یا لینوکس بودن سیستم، پیلود مناسب را تحویل میدهند.
بدافزار Lumma Stealer در سیستمهای ویندوز
این کمپین برای کاربران ویندوز یک فایل آرشیو رمزگذاری شده ارائه میکند که روی زیرساختهای مخرب میزبانی میشود.
نکته کلیدی:
حجم آرشیو استخراجشده حدود 950 مگابایت است، در حالی که پیلود اصلی تنها 33 مگابایت حجم دارد.
این تکنیک با هدف عبور از محدودیتهای اسکن آنتیویروس و ایجاد اختلال در تحلیل ایستا (Static Analysis) طراحی شده است.
بازسازی مبتنی بر AutoIt
پس از اجرا، بدافزار مراحل زیر را طی میکند:
- بازسازی فایلهای باینری قطعهبندی شده (Segmented Binary Files).
- اجرای یک فایل اجرایی کامپایلشده با AutoIt.
- رمزگشایی و اجرای یک پیلود حافظهای.
عملکردهای مشاهدهشده شامل موارد زیر است:
- سرقت اطلاعات ورود مرورگر
- جمعآوری کوکیهای نشست (Session Cookies).
- اجرای دستورات از طریق Shell
- ارسال دادهها به سرور کنترل و فرمان (C2) از طریق HTTP POST (مثلاً healgeni[.]live).
- استفاده از Multipart/form-data POST برای مخفیسازی محتوای سرقتشده.
محققان CTM360 چندین آدرس IP و هش SHA-256 مرتبط با پیلود Lumma Stealer را شناسایی کردهاند.
Ninja Browser آلوده به تروجان در سیستمهای لینوکس
کاربران لینوکس به دانلود یک مرورگر مبتنی بر Chromium هدایت میشوند که تحت برند “Ninja Browser” ارائه شده است. این نرمافزار خود را بهعنوان مرورگری متمرکز بر حریم خصوصی و مجهز به امکانات ناشناسسازی معرفی میکند، اما تحلیلهای CTM360 نشان میدهد:
- بدون رضایت کاربر، افزونههای مخرب نصب میکند.
- مکانیزمهای مخفی ایجاد دسترسی پایدار را پیادهسازی میکند تا امکان کنترل و نفوذ مجدد توسط مهاجم فراهم شود.
عملکرد افزونه مخرب
افزونه داخلی با نام “NinjaBrowserMonetisation” قادر است:
- کاربران را با شناسههای یکتا ردیابی کند.
- اسکریپتها را در نشستهای وب تزریق کند.
- محتوای از راه دور بارگذاری کند.
- تبها و کوکیهای مرورگر را دستکاری کند.
- دادهها را به صورت خارجی ذخیره کند.
این افزونه از جاوااسکریپت مبهمسازیشده با XOR و رمزگذاری مشابه Base56 استفاده میکند. با اینکه همه دامنههای تعبیهشده بلافاصله فعال نمیشوند اما این زیرساخت امکان نصب پیلودهای جدید توسط مهاجم را در آینده فراهم میکند.
مکانیزم ایجاد دسترسی پایدار مخفی
تحقیقات CTM360 نشان میدهد که مرورگر آلوده Ninja Browser در لینوکس از یک مکانیزم ایجاد دسترسی پایدار مخفی استفاده میکند. این موارد شامل تسک زمانبندیشده (Scheduled Tasks) است که بهطور خودکار:
- هر روز با سرورهای کنترلشده توسط مهاجم ارتباط برقرار میکنند.
- بهروزرسانیها را بدون دخالت کاربر نصب میکنند.
- دسترسی طولانیمدت و پایدار مهاجم به سیستم قربانی را تضمین میکنند.
علاوه بر این، مرورگر بهصورت پیشفرض از موتور جستجوی روسی X-Finder استفاده کرده و کاربران را به صفحات جستجوی مشکوک با تم هوش مصنوعی هدایت میکند.
این زیرساخت حمله به دامنههای کلیدی زیر متصل است:
- ninja-browser[.]com
- nb-download[.]com
- nbdownload[.]space
زیرساخت کمپین و شاخصهای نفوذ (IoC)
CTM360 این فعالیت را به زیرساختهای مشخصی مرتبط دانسته است، از جمله:
آدرسهای IP
- 42.139[.]18
- 111.170[.]100
دامنه سرور فرمان و کنترل (C2)
- healgeni[.]live
همچنین هشهای SHA-256 و دامنه مرتبط با سرقت اعتبارنامهها و توزیع بدافزارهای Infostealer شناسایی شدهاند که جزئیات کامل آنها در گزارش CTM360 منتشر شده است.
ریسکها برای سازمانها
ریسکهای مرتبط با Lumma Stealer
- سرقت اطلاعات ورود و توکنهای نشست
- تصاحب حسابهای کاربری (Account Takeover)
- کلاهبرداری و سوءاستفاده مالی
- حرکت جانبی (Lateral Movement) در شبکههای سازمانی
ریسکهای مرتبط با Ninja Browser
- سرقت مخفیانه اعتبارنامهها
- اجرای دستورات از راه دور (RCE)
- ایجاد پایداری مشابه بکدور
- نصب خودکار بهروزرسانیهای مخرب بدون اطلاع و رضایت کاربر
نکته مهم:
استفاده از سرویسهای گوگل باعث دور زدن فیلترهای مبتنی بر اعتماد سنتی میشود و کاربر اعتماد بیشتری به محتوای مخرب پیدا میکند.
توصیههای امنیتی برای مقابله با کمپین Lumma Stealer و Ninja Browser
بر اساس گزارش CTM360، سازمانها برای کاهش ریسک این کمپین بدافزاری باید اقدامات زیر را در دستور کار قرار دهند:
- بررسی دقیق لینکهای کوتاهشده و زنجیرههای ریدایرکت بهویژه در سرویسهای Google Docs و Google Drive
- مسدودسازی IoCها در سطح فایروال، سامانههای امنیتی شبکه و راهکارهای EDR
- آموزش کاربران برای جلوگیری از دانلود نرمافزار از انجمنها و منابع عمومی بدون اعتبارسنجی
- مانیتورینگ ایجاد تسک زمان بندی در سیستمهای کاربری و سرورها
- ممیزی و کنترل افزونههای مرورگر برای شناسایی نصبهای مشکوک یا ناخواسته
این کمپین نشان میدهد مهاجمان بهطور فزایندهای از SaaSهای معتبر بهعنوان زیرساخت توزیع بدافزار استفاده میکنند.
