سرویس های پرطرفدار، برنامه ها و سازمان ها همیشه هدف اصلی حملات سایبری بوده که در این حملات با بهره جویی از نقطه ضعف های سرویس مورد نظر، اطلاعات کاربران، اطلاعات حساس شرکت ها یا اطلاعات مربوط به زیرساخت سازمان ها سرقت می شود.

در این مقاله قصد داریم اخبار امنیتی مهم هفته پیش از جمله تروجان Cyberus، آسیب پذیری های کشف شده در افزونه های WordPress، ایمیل های فیشینگ از طرف Cisco Webex و پویش فیشینگ Microsoft Teams را بررسی کنیم.

تروجان Cyberus با قابلیت های مخرب بیشتر:

در اوایل امسال قابلیت جدید این تروجان کشف شد که می توانست رمز های یکبار مصرف را سرقت کند. محققان Check point به تازگی دریافتند که این تروجان می تواند تمامی اطلاعات کاربران از جمله تاریخچه تماس ها، پیامک ها، اطلاعات حساب بانکی، اپلیکیشن های نصب شده، را جمع آوری کرده و همچنین با اجرای برنامه اتصال از راه دور Team Viewer، کنترل کامل دستگاه قربانی را در اختیار بگیرد.

Cyberus که یک جاسوس افزار تمام عیار است، در حال حاضر تمامی سازمان های چند ملیتی را هدف قرار داده و از طریق سرور های مدیریت دستگاه های همراه (MDM) انتشار یافته است.

تا به حال این تروجان توانسته به ۷۵% از دستگاه های شرکت ها نفوذ کند. زمانی که Cyberus بر روی دستگاه نصب شد، حجم عظیمی از اطلاعات را جمع آوری کرده و آنها را به سرور فرماندهی و کنترل هکر ارسال می کند.

تروجان هک اندروید Cyberus در اوایل تابستان ۲۰۱۹ به عنوان یک محصول MaaS(بدافزاری که برای استفاده از آن و اجازه سرور و بات نت های آن باید پول پرداخت کرد) منتشر شد. از خصوصیات نمونه های اولیه این محصول می توان به ضد تحلیل بودن، غیر قابل شناسایی و غیر قابل حذف بودن آن اشاره کرد.

دو افزونه WordPress بیش از یک میلیون وب سایت را در معرض خطر قرار داد:

به گزارش Wordfence دو آسیب پذیری بسیار خطرناک در افزونه های Elementor pro و Ultimate Addons for Elementor پیدا شده که وب سایت های پچ نشده را در معرض خطر قرار داده است.

این افزونه پولی بیش از یک ملیون نصب فعال دارد. این آسیب پذیری خطرناک، یک اسیب پذیری اجرای کد از راه دور می باشد و در نتیجه آن یک بک دور بر روی وب سایت نصب شده که به هکر دسترسی ادمین می دهد.

مهاجمان می توانند از افزونه Ultimate Addons for Elementor که بیش از ۱۱۰۰۰۰ بار نصب شده، نیز استفاده کرده و خودشان را به عنوان یک کاربر در وب سایت عضو کنند، حتی اگر وب سایت ثبت نام کاربر نداشته باشد.

هکر ها با استفاده از ایمیل های فیشینگ با موضوع هشدار پروتکل SSL اطلاعات حساب کاربران Sisco Webex را سرقت کردند:

هکر ها برای حملات فیشینگ خود از پلتفرم Sisco Webex استفاده می کنند. در این ایمیل ها با استفاده از یک هشدار و خطای جعلی در رابطه با پروتکل SSL وب سایت، کاربران را فریب داده و اطلاعات حساب آنها را جمع آوری می کنند. طبق یافته های شرکت امنیتی Abnormal Security، ۵۰۰۰ کاربر Cisco Webex چنین ایمیلی دریافت کرده اند.

با توجه به شرایط جهانی که تحت تاثیر ویروس COVID-19 رخ داده، محبوبیت اپلیکیشن های برگزاری کنفرانس مثل Zoom و Sisco Webex افزایش یافته است. این اتفاق زمینه جمع آوری اطلاعات برای هکر ها را فراهم کرده است.

در این ایمیل های فیشینگ که با جعل ایمیل های Sisco Webex به کاربران ارسال می شوند، به آنها گفته شده که به دلیل خطای SSL در Webex حساب کاربری آنها توسط مدیریت مسدود شده و برای بازگشایی آن، کاربر باید حساب خود را تایید کند. در این ایمیل لینکی هم قرار داده شده که کاربر را به یک صفحه ورود به Sisco Webex جعلی هدایت می کند. هر اطلاعاتی که کاربر در این صفحه وارد کند به سرور های هکر ارسال شده و در نتیجه حساب او دزدیده می شود.

این اولین باری نیست که هکر ها برای سرقت اطلاعات کاربران از پلتفرم Sisco Webex استفاده می کنند. در ماه گذشته هکر ها با ارسال ایمیل های فیشینگ با محتوای هشدار دهی و خطا، از آنها می خواستند هرچه سریعتر نسخه رومیزی sisco webex را بروزرسانی کنند.

کاربران Microsoft Teams هدف حملات فیشینگ قرار گرفتند:

در هفته های پیش نقطه ضعفی در برنامه Microsoft Teams کشف شد که در آن تنها با ارسال یک فایل GIF، کنترل حساب کاربر به طور کامل به دست هکر می افتد. خوشبختانه این ایراد پچ شده و برطرف شد.

اینبار مهاجمان با جعل ایمیل های Microsoft Teams، اطلاعات حساب Office 365 کاربران را جمع آوری می کنند. طبق گزارش Abnormal Security تا به حال ۵۰۰۰۰ کاربر Teams در دو حمله متفاوت، هدف قرار گرفته اند.

مهاجمان در این ایمیل ها از آدرس های هدایتی زیادی استفاده کرده اند تا آدرس کلاهبرداری اصلی را پنهان کنند. این روش برای جلوگیری تشخیص آدرس کلاهبرداری توسط سیستم های امنیتی ایمیل ها به کار برده شده است.

در یکی از این حملات آدرس اولیه به صفحه Youtube متصل است و از آنجا با دو آدرس دیگر کاربر را به وب سایت کلاهبرداری هدایت می کند.

در حمله دیگر، ادرس اولیه که به کاربر ارسال شده مربوط به دامنه ای است که به تازگی ثبت شده و آدرس آن sharepointonline.irs.com است اما این وب سایت هیچ ارتباطی به IRS(اداره مالیات) یا Microsoft ندارد.

نظرات

نظر (به‌وسیله فیس‌بوک)