خانه » حمله فیشینگ واتساپ با استفاده از اسناد تجاری جعلی، رایانه‌های شخصی را هک می‌کند

حمله فیشینگ واتساپ با استفاده از اسناد تجاری جعلی، رایانه‌های شخصی را هک می‌کند

توسط Vulnerbyte_News
29 بازدید

یک کمپین بدافزاری کاربران واتساپ(WhatsApp)  را در کشورهای مختلف هدف قرار داده است. در این حمله فیشینگ واتساپ، مهاجمان با سوءاستفاده از حساب‌های واتساپی که پیش‌تر مورد نفوذ قرار گرفته‌اند، فایل‌های VBScript (VBS) را با ظاهری شبیه اسناد مالی و تجاری برای مخاطبان قربانی ارسال می‌کنند تا آن‌ها را به دانلود و اجرای فایل‌های مخرب ترغیب کنند. اجرای این فایل‌ها، زنجیره آلودگی را آغاز کرده و در نهایت دسترسی از راه دور به سیستم قربانی را برای مهاجمان فراهم می‌کند.

بر اساس داده‌های تله‌متری شرکت کسپرسکی، این حمله فیشینگ واتساپ تاکنون در کشورهایی از جمله برزیل، هند، مکزیک، سنگاپور، بریتانیا، اسپانیا، تایوان، استرالیا، روسیه، ویتنام و مالزی مشاهده شده است. در ادامه این زنجیره آلودگی، نرم‌افزار قانونی ManageEngine Endpoint Central روی سیستم قربانی نصب می‌شود. این نرم‌افزار به‌طور معمول توسط مدیران فناوری اطلاعات (IT) برای مدیریت متمرکز سامانه‌ها از طریق یک داشبورد مرکزی مورد استفاده قرار می‌گیرد، اما در این کمپین، مهاجمان از آن برای ایجاد دسترسی از راه دور به رایانه قربانی سوءاستفاده می‌کنند.

شروع زنجیره آلودگی با فایل VBScript مبهم‌سازی‌شده

طبق گزارش شرکت کسپرسکی، حمله فیشینگ واتساپ با پیام‌هایی آغاز می‌شود که از حساب‌های واتساپ از پیش هک‌شده ارسال شده‌اند و تنها شامل یک فایل VBScript به‌شدت مبهم‌سازی‌شده (Obfuscated) هستند.

این فایل‌ها با نام‌هایی انتخاب می‌شوند که در ظاهر شبیه اسناد مالی، صورت‌حساب‌ها، اعلان‌های حساب کاربری یا سایر مدارک اداری به نظر می‌رسند؛ اقدامی که با هدف افزایش جلب توجه کاربر و ترغیب او به باز کردن و اجرای فایل انجام شده است.

همچنین نام این فایل‌ها به زبان‌های مختلف تنظیم شده است؛ موضوعی که نشان می‌دهد مهاجمان این عملیات را با هدف پوشش کاربران در کشورهای مختلف و افزایش اثربخشی حمله در سطح بین‌المللی طراحی کرده‌اند.

بر اساس بررسی‌های کسپرسکی و شواهد به‌دست‌آمده از قربانیان و نمونه‌های ارسالی، مهاجمان به چندین حساب واتساپ دسترسی پیدا کرده‌اند و از این حساب‌های آلوده برای ارسال فایل‌های مخرب به مخاطبان استفاده می‌کنند. با این حال، هنوز مشخص نیست که این حساب‌ها دقیقاً از چه روشی مورد نفوذ قرار گرفته‌اند.

حمله فیشینگ واتساپ
نمونه‌هایی از پیام‌های آلوده

چگونه زنجیره حمله فیشینگ واتساپ به دسترسی از راه دور ختم می‌شود؟

اگر قربانی فایل را در سیستم‌عامل ویندوز دانلود و اجرا کند، VBScript دو اسکریپت تکمیلی را از زیرساخت مهاجم دریافت می‌کند. این اسکریپت‌ها در ادامه با اعمال تغییراتی در ریجستری ویندوز، مکانیزم‌های حفاظتی کنترل حساب کاربری (User Account Control – UAC) را غیرفعال کرده و سپس یک فایل فشرده ZIP شامل نرم‌افزار ManageEngine Endpoint Central را دانلود می‌کنند.

در مرحله بعد، این نرم‌افزار به‌صورت کاملاً پنهانی و در پس‌زمینه سیستم نصب شده و برای اتصال به سرورهای مدیریتی تحت کنترل مهاجم پیکربندی می‌شود. در نهایت، این روند به ایجاد دسترسی مدیریتی از راه دور روی سیستم قربانی منتهی می‌شود؛ به‌طوری که مهاجم می‌تواند از یک ابزار قانونی مدیریت سیستم برای کنترل کامل دستگاه آلوده استفاده کند. در واقع، در این مرحله حمله فیشینگ واتساپ وارد فاز عملیاتی خود شده و کنترل زیرساخت قربانی را برای مهاجم ممکن می‌سازد.

حمله فیشینگ واتساپ
محتوای فایل ZIP

تفاوت عملکرد حمله فیشینگ واتساپ در نسخه وب و دسکتاپ

به گفته کسپرسکی، اگر فایل اولیه از طریق نسخه وب واتساپ (WhatsApp Web) دریافت شود، کاربر ابتدا باید آن را دانلود کند؛ اما در صورتی که همان فایل در نسخه دسکتاپ واتساپ (WhatsApp Desktop client) باز شود، امکان اجرای مستقیم آن از طریق میزبان اسکریپت ویندوز (Windows Script Host) با استفاده از پردازه wscript.exe وجود دارد.

در واقع، حمله فیشینگ واتساپ با بهره‌گیری از تفاوت عملکردی میان نسخه‌های مختلف کلاینت، احتمال اجرای مستقیم فایل در محیط دسکتاپ را افزایش داده و در نتیجه سطح ریسک آلودگی را بالا می‌برد. این موضوع نشان می‌دهد مهاجمان به‌خوبی با الگوی استفاده کاربران آشنا هستند و زنجیره حمله را بر همان اساس بهینه‌سازی کرده‌اند.

نمای کلی زنجیره حمله

عدم انتساب قطعی و توصیه‌های امنیتی

اگرچه شرکت کسپرسکی این حمله فیشینگ واتساپ را به یک عامل تهدید مشخص نسبت نداده است اما پژوهشگران نشانه‌هایی از استفاده از زبان چینی و همچنین همپوشانی زیرساختی با برخی IPها را شناسایی کرده‌اند؛ آدرس‌هایی که پیش‌تر با فعالیت بدافزارهای ValleyRAT و Gh0st RAT مرتبط بوده‌اند. با این حال، شواهد موجود برای انتساب قطعی کافی نیست.

در همین راستا، به کاربران توصیه می‌شود حتی در مواجهه با فایل‌های ارسالی از سوی مخاطبان آشنا نیز احتیاط کنند و پیش از باز کردن، از طریق روش‌های جایگزین از صحت آن‌ها اطمینان حاصل نمایند. همچنین توصیه می‌شود تمامی فایل‌های دانلودشده پیش از اجرا با یک آنتی‌ویروس به‌روز اسکن شوند؛ زیرا در چنین سناریوهایی، این نوع حمله می‌تواند حتی از مسیرهای به‌ظاهر قابل اعتماد نیز برای انتشار فایل‌های آلوده سوءاستفاده کند.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید