EN
 

هکرها با رزومه‌های جعلی حاوی بدافزار به شبکه‌های سازمانی نفوذ می‌کنند

  1. سرتفا »
  2. آخرین خبرها »
  3. بدافزارها
۰۵ فروردین ۱۴۰۵

پژوهشگران امنیتی از شناسایی یک کارزار فیشینگ گسترده و پیچیده خبر داده‌اند که با استفاده از رزومه‌های کاری جعلی، محیط‌های سازمانی فرانسوی‌زبان را هدف قرار داده است. این بدافزار که با نام فنی FAUX#ELEVATE شناخته می‌شود، ترکیبی از سرقت اطلاعات حساس و استخراج مخفیانه ارز دیجیتال را دنبال می‌کند و به‌گونه‌ای طراحی شده که تنها بر روی سیستم‌های متصل به شبکه‌های دامنه (Domain-joined) در شرکت‌ها فعال شود.

بر اساس گزارش شرکت امنیتی «سکیورونیکس» (Securonix)، مهاجمان در این شیوه از فایل‌های مخرب وی‌بی‌اسکریپت استفاده می‌کنند که در ظاهر شبیه به مستندات رزومه هستند. هنگامی که کاربر این فایل را باز می‌کند، یک پیام خطای جعلی به زبان فرانسوی نمایش داده می‌شود که ادعا می‌کند فایل آسیب دیده است؛ اما در پس‌زمینه، اسکریپت شروع به اجرای زنجیره‌ای از فرآیندهای پیچیده برای دور زدن سدهای امنیتی و دریافت دسترسی مدیریت می‌کند.

این بدافزار از تکنیک‌های پیشرفته‌ای برای پنهان‌ماندن از دید نرم‌افزارهای آنتی‌ویروس بهره می‌برد. اسکریپت اولیه این حمله شامل بیش از ۲۲۴ هزار خط است که تنها ۲۶۶ خط آن کد اجرایی واقعی است و باقی آن با کلمات و جملات تصادفی انگلیسی پر شده تا حجم فایل افزایش یافته و تحلیل آن دشوار شود. همچنین، بدافزار با استفاده از ابزار مدیریت ویندوز (WMI)، بررسی می‌کند که آیا سیستم هدف متعلق به یک شبکه سازمانی است یا خیر؛ در صورتی که سیستم یک کامپیوتر خانگی معمولی باشد، بدافزار از ادامه فعالیت خودداری می‌کند تا شناسایی نشود.

پس از کسب دسترسی‌های لازم، بدافزار بلافاصله بخش‌های حفاظتی مایکروسافت دیفندر را غیرفعال کرده و دو فایل فشرده رمزگذاری‌شده را از سرویس دراپ‌باکس دانلود می‌کند. این فایل‌ها حاوی ابزارهای سرقت اطلاعات از مرورگرهای مبتنی بر کرومیوم و فایرفاکس، ابزارهای استخراج مخفیانه ارز دیجیتال مونرو و ماژول‌هایی برای حفظ دسترسی دائمی به سیستم قربانی هستند. 

مهاجمان همچنین از زیرساخت‌های قانونی مانند سایت‌های وردپرسی هک‌شده در مراکش برای هدایت دستورات و از حساب‌های ایمیل «mail.ru» برای ارسال اطلاعات سرقتی استفاده می‌کنند.

کارشناسان هشدار می‌دهند که سرعت عمل این بدافزار بسیار بالاست؛ به‌طوری که کل زنجیره آلودگی، از لحظه اجرای فایل رزومه تا سرقت و ارسال اطلاعات، تنها حدود ۲۵ ثانیه به طول می‌انجامد. پس از پایان عملیات سرقت، بدافزار برای پاک کردن ردپای خود، تمامی ابزارهای دانلود شده را حذف کرده و تنها بخش استخراج ارز دیجیتال و تروجان دسترسی از راه دور را در سیستم باقی می‌گذارد. این موضوع نشان‌دهنده سطح بالای سازمان‌دهی مهاجمان برای هدف قرار دادن دارایی‌های دیجیتال و اطلاعات هویتی سازمان‌ها است.

توضیحات بیشتر:

Hackers Use Fake Resumes to Steal Enterprise Credentials and Deploy Crypto Miner

بدافزار

به اشتراک بگذارید

بازگشت به بالا

بهره‌گیری گوگل از هوش مصنوعی جمینای برای رصد فعالیت‌های مجرمانه در دارک‌وب