GBHackers News گزارش داد که سازمانهای فعال در حوزههای سرمایهگذاری، بانکداری، انرژی و بیمه در سطح جهانی هدف یک کمپین فیشینگ هدفمند (Spear-Phishing) قرار گرفتهاند که بدافزار NetBird را علیه مدیران مالی ارشد (CFOها) و سایر مدیران مالی توزیع میکند.
زنجیره حمله حملات فیشینگ با بدافزار NetBird
Trellix اعلام کرد که مهاجمان حمله را با ارسال ایمیلی حاوی پیشنهاد شغلی جعلی از شرکت Rothschild & Co آغاز میکنند. این ایمیل شامل لینکی است که بهعنوان بروشور PDF معرفی شده، اما کاربر را به صفحهای در سرویس Firebase هدایت میکند. این صفحه با استفاده از سیستم CAPTCHA جعلی، کاربر را فریب میدهد تا تأییدیهای را حل کند. پس از آن، آدرس مخفی رمزگشایی شده و یک اسکریپت VBS دانلود میشود. اسکریپت مخرب اقدامات زیر را انجام میدهد:
- تزریق پنهانی بدافزار NetBird و OpenSSH.
- ایجاد حساب کاربری محلی ادمین مخفی.
- فعالسازی پروتکل دسکتاپ از راه دور (RDP) و تغییر تنظیمات فایروال.
- ایجاد وظایف زمانبندیشده (Scheduled Tasks) برای حفظ ماندگاری در سیستم.
هشدار امنیتی
Trellix گزارش داد که تکنیک CAPTCHA جعلی پیشتر در نمونههای قدیمیتر این کمپین مشاهده شده، که نشاندهنده گستردگی و تداوم این فعالیت مخرب است. همچنین، Trellix هشدار داد که سازمانها برای مقابله با این تهدید باید از ابزارهای پیشرفته تشخیص و پاسخ به تهدیدات اندپوینت (EDR)استفاده کنند. همچنین، بررسی فعالیتهای مرتبط با MSIExec و ردیابی اجرای اسکریپتهای مشکوک ضروری است.
