هشدار مایکروسافت به کاربران ویندوز ۱۰ برای مراقبت در مقابل تهدیدهای جدیدی که رایانههای شخصی را هدف قرار میدهند.
در روزهای گذشته، مایکروسافت ضمن هشدار درباره یک تهدید جدید، تاکید کرده که باید از کاربران ویندوز ۱۰ در برابر این تهدید مراقبت شود.
با توجه به توضیحات مایکروسافت، این تهدید یک کمپین فیشینگ بزرگ و در حال پیشرفت است که قصد استفاده از نگرانیهای مردم درباره ویروس کرونا را دارد.
این تهدید به هکرها اجازه میدهد تا به طور کامل کنترل دستگاههای قربانی را در اختیار گرفته و به صورت از راه دور به اجرای دستورات بر روی آنها بپردازند. این کلاهبرداری با ارسال یک ایمیل که ادعا میکند شامل بهروزرسانی مهمی در زمینه ویروس کرونا است آغاز شده و دریافتکننده برای جزئیات بیشتر به یک فایل اکسل ضمیمه شده ارجاع داده میشود. در ظاهر به نظر میرسد که پیام دریافتی از طرف مرکز John Hopkins بوده و پس از باز کردن فایل ضمیمه، یک گراف که دربردارندهی جزئیات موارد ویروس کرونا و فوتیهای آن است، نشان داده میشود.
برخلاف ظاهر قانونی، فایل ضمیمهی این ایمیل شامل ماکرو[۲]های مخربی است که در صورت تایید گزینهی “فعال کردن محتوا”[۳] توسط کاربر، اجرا خواهند شد.
طبق گزارشهای دریافتی از وبسایت Bleeping Computer، پس از باز کردن فایل ضمیمه در این ایمیلها و کلیک بر روی گزینه فعالسازی محتوا، ابزار مدیریت از راه دور NetSupport Manager بر روی دستگاه قربانی نصب میشود. این ابزار یک تروجان است که به واسطه آن، امکان دسترسی از راه دور به دستگاه آلوده برای عاملین تهدید فراهم میشود.
تیم هوش امنیتی مایکروسافت از طریق حساب توییتر خود درباره این تهدید بیان کرده که: فایلهای اکسل منحصربهفرد مشاهده شده در این کمپین از فرمولهای شدیدا درهمریخته استفاده میکنند اما نکتهی مشترک در همه آنها این است که به یک URL یکتا برای دانلود Payload متصل میشوند.
ابزار NetSupport Manager ابزاری است که به مورد سوءاستفاده واقع شدن توسط مهاجمین برای دسترسی از راه دور و اجرای دستورات روی یک دستگاه به مخاطره افتاده شناخته میشود. این RAT همچنین قادر است با نصب ابزارها و اسکریپتهای مخرب دیگر، مخاطرات بیشتری را به دستگاه قربانی با سیستم عامل ویندوز ۱۰ وارد نماید.
حساب کاربری توییتر تیم هوش امنیتی مایکروسافت همچنین بیان کرده است که: RAT استفاده شده در این کمپین (یعنی NetSupport ) چندین مولفه شامل فایلهای .dll، .ini و .exe، یک VBScript و یک اسکریپت PowerShell درهمریخته مبتنی بر PowerSploit را در ادامه بر روی دستگاه قربانی قرار میدهد و با اتصال به یک سرور C2 امکان ارسال دستورات بعدی توسط مهاجم به دستگاه قربانی را ایجاد میکند.
اگر تاکنون قربانی این کمپین شده باشید، باید فرض کنید که دادههای شما به مخاطره افتاده و خرابکاران تلاش کردهاند گذرواژههای شما را به سرقت ببرند. با توجه به این مساله، اطمینان حاصل کنید که دستگاه آلوده را پاکسازی کرده و همهی گذرواژههای خود بر روی آن دستگاه و همچنین دیگر کامپیوترهای موجود بر روی شبکهی خود را تغییر دهید.
یکی از متخصصین امنیت سایبری ESET به نام Jake Moore دربارهی این تهدید توضیح داده که با افزایش تعداد افرادی که به صورت از راه دور به شبکهی محل کار خود دسترسی مییابند، حملات از راه دور نیز به طور اجتنابناپذیر افزایش مییابند. همچنین، با توجه به شرایط موجود، افراد زیادی از دستگاههای (احتمالا قدیمی) خود برای انجام امور خود استفاده میکنند. این مساله، با توجه به عدم وجود ابزارهای امنیتی مناسب بر روی این دستگاهها، به خودی خود شانس موفقیت حملات را افزایش میدهد. حال در صورت تجمیع این موقعیت با ایمیلهایی در ظاهر معتبر و دلیلی موجه برای استفاده از نرمافزارهای دسترسی از راه دور، شرایط بسیار خطرناکتر میشود.
علاوهبراین، به نظر میرسد که در میان ناامیدی برای یافتن آخرین اخبار درباره ویروس کرونا، بسیاری از افراد رویههای دفاعی خود در برابر کلاهبرداریهای فیشینگ را نادیده میگیرند و با توجه به این مهم، نقشهی کلاهبرداری کلاهبرداران در صورت استفاده از نامهایی مانند دانشگاه John Hopkins نتیجهبخشتر از نقشههای سنتی مانند استفاده از Netflix و HMRC خواهد بود.
[۱] منبع