نسخه جعلی TeamViewer و توزیع گونه جدید بدافزار ZLoader از طریق گوگل
اخبار داغ فناوری اطلاعات و امنیت شبکهکاربرانی که به دنبال نرم افزار ریموت دسکتاپ TeamViewer در موتورهای جستجو مانند گوگل هستند، به لینک های مخربی هدایت می شوند که بدافزارهای ZLoader را روی سیستم های آنها مستقر می کنند؛ در حالی که این محتوای آلوده به طور همزمان از زنجیره آلودگی مخفی تری استفاده می کنند که به آن اجازه می دهد تا روی دستگاه های آلوده باقی مانده و از امکان شناسایی توسط راهکارهای امنیتی جلوگیری کنند.
محققان SentinelOne در گزارشی که روز دوشنبه منتشر شد، گفتند: "این بدافزار از تبلیغات گوگل که از طریق Google Adwords منتشر شده است بارگیری می شود. در این کمپین، مهاجمان به جای استفاده از رویکرد کلاسیک برای به خطر انداختن قربانی به شکل مستقیم، مانند فیشینگ، از روش غیرمستقیم برای در معرض آلودگی قرار دادن قربانیان استفاده می کنند".
بدافزار ZLoader (با نام مستعار Silent Night و ZBot) که برای اولین بار در سال 2016 کشف شد، یک تروجان بانکی با ویژگی های کامل و امکانات بدافزار بانکی دیگری به نام ZeuS است و در نسخه های جدیدتر که یک ماژول VNC را اجرا می کند، به دشمنان امکان دسترسی از راه دور به سیستم های قربانی را می دهد. این بدافزار در حال توسعه فعال است و مهاجمانن سایبری مجموعه ای از گونه های مختلف را در سال های اخیر ایجاد کرده اند که ظاهرا در مقایسه با نشت کد منبع ZeuS در سال 2011 کمتر از آن تقویت شده است.
اعتقاد بر این است که موج اخیر حملات، کاربران موسسات مالی استرالیا و آلمان را با هدف اصلی رهگیری درخواست های وب کاربران به درگاه های بانکی و سرقت اعتبارات بانکی هدف قرار داده است. اما این کمپین همچنین به دلیل مراحلی که برای در امان ماندن از امکان شناسایی انجام می دهد، از جمله اجرای یک سری دستورات برای پنهان کردن فعالیت مخرب با غیرفعال کردن Windows Defender، بسیار مورد توجه قرار گرفته است.
زنجیره آلودگی زمانی شروع می شود که یک کاربر روی تبلیغاتی که توسط گوگل در صفحه نتایج جستجو نمایش داده می شود کلیک کرده و به سایت جعلی TeamViewer تحت کنترل مهاجم هدایت می شود و پس از آن قربانی را فریب می دهد تا نرم افزار مخرب و به ظاهر رسمی را دانلود و بارگیری نماید ("Team- Viewer.msi "). نصب کننده جعلی به عنوان دراپر مرحله اول عمل می کند و مجموعه ای از اقدامات را شامل می شود که از جمله آنها دانلود دراپر های مرحله بعدی با هدف آسیب رساندن به سیستم دفاعی دستگاه و در نهایت بارگیری بار ZLoader DLL ("tim.dll") است.
آنتونیو پیرزی، محقق ارشد تهدید اطلاعاتی SentinelOne گفت: "در ابتدا، همه ماژول های Windows Defender را از طریق PowerShell cmdlet Set-MpPreference غیرفعال می کند. سپس exclusion هایی مانند regsvr32 ، *.exe ، *.dll را با cmdlet Add-MpPreference اضافه می کند تا همه اجزای بدافزار را از Windows Defender پنهان کند".
این شرکت امنیت سایبری اعلام کرد که بدافزارهای طراحی شده بیشتری را نیز پیدا کرده است که از برنامه های محبوب مانند Discord و Zoom تقلید می کنند و موید این نکته است که مهاجمان چندین کمپین بزرگ و فراتر از تنها استفاده از TeamViewer را در دست انجام داشته اند.
پیرزی در انتها توضیح داد: "زنجیره حمله ای که در این تحقیق تجزیه و تحلیل شده است نشان می دهد که چگونه پیچیدگی حمله به منظور دستیابی به سطح بالاتری از مخفی کاری با استفاده از جایگزینی برای رویکرد کلاسیک به خطر انداختن قربانیان از طریق ایمیل های فیشینگ ارتقا و رشد یافته است. تکنیک مورد استفاده برای نصب دراپر مرحله اول از مهندسی اجتماعی قربانی به باز کردن یک سند مخرب، اکنون به آلوده سازی جستجوهای وب کاربر با لینک هایی که یک payload مخفیانه و به ظاهر رسمی MSI را تغییر می دهد، تغییر یافته است″.
برچسب ها: ZeuS, ZLoader, Silent Night, ZBot, Google Adwords, SentinelOne, Trojan, ZOOM, Discord, cybersecurity, TeamViewer, Windows Defender, phishing, malware, تروجان, گوگل, فیشینگ, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری