بسم الله الرحمن الرحيم
الصلاة والسلام على اشرف المرسلين صلى الله عليه وسلم
السلام عليكم ورحمة الله
جهاز التوجيه تحت الهجوم لنشر البرامج الضارة
في هجوم سيبراني يستفيد من COVID-19 للهبوط.
في الواقع ، يقوم مجرمو الإنترنت بتهديد أجهزة التوجيه وتغيير إعدادات نظام اسم النطاق (DNS) ، من أجل إعادة توجيه الضحايا إلى المواقع الخاضعة للرقابة التي تروج للتطبيقات الكاذبة للمعلومات حول الفيروسات التاجية. إذا قام الضحايا بتنزيل هذه التطبيقات ، فهم مصابون ببرامج Oski الضارة.
يوضح هذا الهجوم الأخير أن المخترقين الإجراميين أصبحوا أكثر إبداعًا في الطريقة التي يستغلون بها جائحة الفيروسات التاجية.
ويبدو أن الأمر ناجح - يعتقد الباحثون أن 1193 ضحية على الأقل تم استهدافهم من خلال هذا الهجوم السيبراني في الأيام القليلة الماضية.
تم الكشف عن المثال الأول في 18 مارس ، ومنذ ذلك الحين ارتفعت النتائج بشكل كبير ، وكان الضحايا من الولايات المتحدة وألمانيا وفرنسا وإيطاليا من بين الأكثر استهدافًا.
من المرجح أن يرتفع عدد في الأسابيع المقبلة ، خاصة إذا قام المهاجمون بإنشاء مستودعات أخرى ، تم استضافتها على Bitbucket وخدمات استضافة التعليمات البرمجية الأخرى ، حيث لا يزال جائحة Coronavirus `` موضوعًا ساخنًا ''.
يبدو أن المهاجمين قاموا بفحص الإنترنت بحثًا عن أجهزة توجيه ضعيفة ، مما أدى إلى تعريضها للخطر - ربما عن طريق الحماية من كلمة المرور - وتغيير إعدادات DNS IP الخاصة بهم.
الموجهات الضعيفة
يستهدف مجرمو الإنترنت في المقام الأول أجهزة توجيه Linksys ، ولكن تم اختراق منتجات D-Link أيضًا.
يبدأ الهجوم بانتهاك بيانات اعتماد جهاز التوجيه ، وبعد ذلك يقوم المجرمون بتعديل عناوين IP الخاصة بـ DNS. باستخدام هذا التحكم في إعدادات DNS ، يمكن للمهاجمين تغيير عناوين IP الخاصة بـ DNS وإعادة توجيه المستخدمين غير المشتبه فيهم إلى صفحات الويب التي يتحكم بها المهاجمون أنفسهم.
تتضمن بعض المجالات المستهدفة ، التي تتم إعادة توجيه المستخدمين إليها: "aws.amazon [.] Com" ، "goo [.] Gl" ، "bit [.] Ly" ، "washington [.] Edu" ، " imageshack [.] لنا "،" ufl [.] edu "،" disney [.] com "،" cox [. ] net "و" pubads.g.doubleclick [.] net "و" tidd [.] ly "و" redditblog [.] com "و" fiddler2 [.] com "و" winimage [.] com. ".
يعيد المهاجمون توجيه الضحايا الذين يحاولون الوصول إلى أحد هذه المجالات إلى قائمة محددة من صفحات الويب ذات الصلة بفيروسات التاجية. على هذه المواقع ، يتم عرض رسالة تدعي أنها من منظمة الصحة العالمية (WHO) ، تدعو المستخدمين إلى تثبيت تطبيق يقدم مزيدًا من المعلومات حول الفيروس التاجي (عبر زر "تنزيل").
يحتوي الزر "تنزيل" على علامة "href" (رابط تشعبي) تم ضبطها على https: // google [.] Com / chrome بحيث يبدو نظيفًا عندما يمرر الضحية المؤشر فوق الزر . ولكن في الواقع يتم إعداده بطريقة لتغيير عنوان URL إلى عنوان URL الخبيث ، المخفي في عنوان URL والاختصار مع TinyURL ".
البرامج الضارة Oski
لمزيد من تغطية مساراتهم ، استخدم المهاجمون Bitbucket ، وهي خدمة استضافة مستودع شرعية (وشائعة) على شبكة الإنترنت ، لتخزين عينات من البرامج الضارة. بمجرد أن ينقر الضحايا على رابط TinyURL ، يتم حذف أداة تنزيل Oski عبر ملف يسمى "runset.EXE" أو "covid19informer.exe" أو "setup_who.exe" (هذه الأسماء هي محاولة أخرى من قبل المتسللين لإعطاء هواء الشرعية).
يعد Oski أحد مخبر البرامج الضارة الجديد نسبيًا.
تدور بعض الميزات التي يحتوي عليها حول استخراج بيانات اعتماد المستعرض وكلمات المرور من "محافظ" العملة المشفرة ، ويفتخر منشئوها بقدرتهم على استخراج بيانات الاعتماد المخزنة في قواعد بيانات SQL الخاصة بمتصفحات الويب المختلفة وسجل Windows.
التوصية لمستخدمي موجهات Linksys و D-Link هي تغيير بيانات اعتماد تسجيل الدخول الخاصة بهم إلى لوحة تحكم جهاز التوجيه. ولا يجب أن ننسى بيانات اعتماد حساب Linksys السحابي ، أو أي حساب إدارة عن بُعد لأجهزة التوجيه ، لتجنب أي عمليات استحواذ من خلال الهجمات الوحشية.
باختصار ، تستمر موجة الهجمات التي تتمحور حول الفيروسات التاجية بلا هوادة . وقد نظرت مجموعات APT إلى الوباء على أنه طعم لانتشار البرامج الضارة لتسرب البيانات ، لا سيما مع تحرك عدد أكبر من الشركات نحو نموذج عمل ذكي استجابة للفيروس.
على الرغم من أنه ليس من غير المألوف أن يستخدم المجرمون الإخباريون الأخبار العالمية ، مثل الوباء ، لإرسال رسائل بريد إلكتروني تصيد تحتوي على مرفقات ضارة ، إلا أن هذا التطور الأخير يظهر أنهم ليسوا مبدعين في المساس بالضحايا.
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))