IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

کمپین جدید Cheana Stealer کاربران VPN را در چندین سیستم عامل هدف می‌گیرد

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir cheana stealer campaign 1
محققان امنیت سایبری یک کمپین فیشینگ پیچیده را کشف کرده‌اند که از بدافزار Cheana Stealer که از طریق یک سایت فیشینگ VPN توزیع شده است، استفاده می‌کند. این حمله به دلیل هدف قرار دادن کاربران در سیستم عامل‌های مختلف از‌جمله ویندوز، لینوکس و macOS مورد توجه واقع شده است.

کمپین Cheana Stealer از طریق یک سایت فیشینگ طراحی شده برای جعل هویت یک ارائه‌دهنده قانونی VPN ارائه‌شده است. این سایت، که ظاهرا سرویس WarpVPN را تقلید میکند، بهطور خاص طراحی شده تا افراد را برای دانلود برنامه‌های VPN برای سیستم عامل‌های مختلف ترغیب کند.

مهاجمان باینری‌های متمایز Cheana Stealer را برای هر سیستم عامل مورد هدف ساخته اند و تلاش خود را برای به حداکثر رساندن دسترسی خود به نمایش میگذارند.

مروری بر کمپین Cheana Stealer
طبق گفته آزمایشگاه تحقیقات و اطلاعات Cyble (CRIL)، بدافزار Cheana Stealer از طریق روش‌های متمایز، کاربران را در چندین سیستم عامل هدف قرار میدهد. برای Windows، بدافزار از طریق یک اسکریپت PowerShell ارائه می‌شود که یک فایل دست‌های به نام install.bat را اجرا میکند.
takian.ir cheana stealer campaign 2
این اسکریپت ابتدا پایتون را در سیستم قربانی بررسی می‌کند و اگر پیدا نشد پایتون را به همراه ابزار‌هایی مانند pip و virtualenv نصب می‌کند.

سپس یک پکیج مخرب پایتون به نام hclockify-win را نصب می‌کند که برای سرقت اطلاعات حساس طراحی شده است. این پکیج افزونه‌های رمزارز مرورگر و والت‌های مستقل را هدف قرار میدهد و داده‌های دزدیده شده را در یک فایل ZIP فشرده میکند که به سرور command-and-control (C&C) مهاجمان ارسال می‌شود. علاوه بر این، رمز‌های عبور ذخیره شده مرورگر را از مرورگر‌های مبتنی بر Chromium و فایرفاکس استخراج میکند.

در سیستم‌های لینوکس، Cheana Stealer از طریق دستور curl توزیع می‌شود که اسکریپتی به نام install-linux.sh را دانلود میکند.
takian.ir cheana stealer campaign 3
این اسکریپت یک شناسه منحصربه فرد را برای رد‌یابی اهداف بازیابی میکند و اطلاعات حساس از‌جمله داده‌های مرورگر، جزئیات والت رمزارز و کلید‌های SSH را استخراج و جمعآوری میکند که سپس به سرور مهاجمان ارسال می‌شود.

برای کاربران macOS، بدافزار از طریق اسکریپتی به نام install.sh توزیع می‌شود.
takian.ir cheana stealer campaign 4
این اسکریپت کاربران را فریب می‌دهد تا اطلاعات کاربری خود را از طریق درخواست‌های جعلی وارد کنند و سپس داده‌های ورود به مرورگر، رمز‌های عبور macOS و اطلاعات Keychain را جمع‌آوری می‌کند. این جزئیات متعاقبا به سرور C&C ارسال می‌شود.

بدافزار Cheana Stealer در تمام پلتفرم‌ها با سواستفاده از آسیبپذیری‌های سیستم و جلب اعتماد کاربر برای استخراج اطلاعات حساس عمل میکند و نیاز به اقدامات امنیتی بهتر و قوی‌تر را برجسته میکند.

نقش کانال تلگرام و تحلیل تکنیکال
takian.ir cheana stealer campaign 5
سایت فیشینگ مرتبط با کمپین Cheana Stealer به یک کانال تلگرام با بیش از ۵٤٠٠٠ مشترک مرتبط است. این کانال که حداقل از سال ٢٠١٨ فعال است، دستخوش تغییرات زیادی در اپراتور‌ها شده است و سایت فیشینگ در سال ٢٠٢١ به بیو آن اضافه شده است.

کانال تلگرام در ابتدا خدمات رایگان VPN را ارائه داد و از این پوشش برای ایجاد اعتبار استفاده کرد. هنگامی که پایگاه کاربری کافی ایجاد شد، کانال بر تبلیغ سایت فیشینگ متمرکز شد و از اعتماد به دست آمده برای توزیع بدافزار سواستفاده کرد.

کمپین Cheana Stealer از یک استراتژی فنی دقیق ساخته شده استفاده می‌کند. سایت فیشینگ، با نام WarpVPN، دستورالعمل‌های نصب دقیق و در‌عین‌حال فریب‌دهنده را برای سیستم عامل‌های مختلف ارائه می‌دهد.
takian.ir cheana stealer campaign 6
این دستورالعمل‌ها کاربران را به نصب بدافزار‌های پنهان به عنوان برنامه‌های قانونی هدایت میکند
این بدافزار برای Windows، Linux، و macOS سفارشی‌سازی شده و هر نسخه برای استخراج داده‌های حساس خاص طراحی شده است. بدافزار به راحتی در سیستم قربانی ادغام می‌شود و اقدام به جمع‌آوری داده‌های موثر و مهم می‌کند.

پس از جمع‌آوری، داده‌های دزدیده شده بایگانی می‌شوند و از طریق HTTPS به سرور مهاجمان ارسال می‌شوند و در حین انتقال آن را ایمن کرده و تشخیص را دشوارتر میکنند. این‌رویکرد پیچیده نیاز کاربران به هوشیاری و به کارگیری اقدامات امنیتی قوی را برجسته میکند.

استراتژی‌های کاهش خطر
برای محافظت در برابر حملات فیشینگ مانند حملات Cheana Stealer، کاربران باید چندین توصیه کلیدی را دنبال کنند. ابتدا، همیشه برنامه‌های VPN و نرم افزار‌های دیگر را از منابع معتبر دانلود کنند تا از نفوذ نسخه‌های مخرب جلوگیری کنید. کمپین‌های آگاهی بخشی می‌توانند به‌کاربران کمک کنند تا تلاش‌های فیشینگ را تشخیص دهند و صحت خدمات VPN را تایید کنند.

علاوه بر این، استقرار راه‌حل‌های پیشرفته حفاظت از نقطه پایانی می‌تواند به شناسایی و مسدود کردن اسکریپت‌های مخرب کمک کند. بروزرسانی منظم این ابزار‌ها برای حفظ اثربخشی آنها ضروری است. نظارت بر ترافیک شبکه با ابزار‌های امنیتی می‌تواند از ارتباط با سرور‌های C2 شناخته شده جلوگیری کند و لایه دیگری از دفاع را اضافه کند. فعال کردن تایید هویت چند عاملی (MFA) یک لایه امنیتی اضافی ارائه میکند و خطر دسترسی غیرمجاز را، حتی اگر اعتبارنامه‌ها به خطر بیفتند، کاهش میدهد.

علاوه بر این، داشتن یک برنامه واکنش خوب توسعه‌یافته بسیار مهم است. این طرح باید به طور مرتب به روز شود تا به سرعت آلودگی‌های بدافزار را رسیدگی و مدیریت کند. کمپین Cheana Stealer نمون‌های از یک حمله فیشینگ پیچیده است که از اعتماد کاربران با ظاهر شدن در پوشش یک سرویس VPN قانونی سواستفاده میکند و استفاده از بدافزار‌های مناسب برای سیستم عامل‌های مختلف و استفاده استراتژیک از کانال تلگرام بر پیچیدگی این کمپین صحه میگذارد.

برچسب ها: virtualenv, WarpVPN, Cheana Stealer, Virtual Private Network, پایتون, Python, Chromium, Linux, لینوکس, PowerShell, macOS, cybersecurity, آسیب‌پذیری, windows, Vulnerability, ویندوز, phishing, malware, VPN, Telegram, جاسوسی سایبری, فیشینگ, امنیت سایبری, جنگ سایبری, تلگرام, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل