IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

ترفندهای جدید در حملات فیشینگ: Cloudflare Workers، هوش مصنوعی مولد و قاچاق HTML

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir new tricks in phishing playbook
محققان امنیت سایبری در مورد کمپین‌های فیشینگ هشدار می‌دهند که از Cloudflare Workers برای ارائه سایت‌های فیشینگ استفاده می‌کنند که برای جمع‌آوری اعتبارنامه کاربران مرتبط با مایکروسافت، جی‌میل، یاهو و وب‌میل cPanel استفاده می‌شوند.

یان مایکل آلکانترا، محقق نتسکوپ در گزارشی گفت: "روش حمله، که فیشینگ شفاف یا فیشینگ دشمن میانی (AitM) نامیده می‌شود، از Cloudflare Workers استفاده می‌کند تا به عنوان یک سرور پروکسی معکوس برای یک صفحه ورود قانونی عمل کند، و ترافیک بین قربانی و صفحه ورود به سیستم را برای سرقت اعتبارنامه‌ها، کوکی‌ها و توکن‌ها رهگیری می‌کند".

اکثر کمپین‌های فیشینگ که در Cloudflare Workers در ٣٠ روز گذشته میزبانی شده‌اند، قربانیان را در آسیا، آمریکای شمالی و جنوب اروپا هدف قرار داده‌اند که شامل حوزه‌های فناوری، خدمات مالی و بخش‌های بانکی می‌شود.

این شرکت امنیت سایبری اعلام کرد که افزایش ترافیک به صفحات فیشینگ میزبانی شده توسط Cloudflare Workers برای اولین‌بار در سه ماهه دوم سال ٢٠٢٣ ثبت شد و اشاره کرد که در مجموع تعداد دامنه‌های متمایز افزایش یافته است که از کمی بیش از ١٠٠٠ در سه ماهه چهارم ٢٠٢٣ به نزدیک به ١٣٠٠ در سه ماهه اول ۲۰۲۴ رسیده است.

کمپین‌های فیشینگ از تکنیکی به نام قاچاق HTML استفاده می‌کنند که شامل استفاده از جاوا اسکریپت مخرب برای جمع‌آوری payload مخرب در سمت کلاینت برای فرار از حفاظت‌های امنیتی است. همچنین جهت برجسته‌سازی استراتژی‌های پیچیده‌ای که عاملان تهدید برای استقرار و اجرای حملات بر روی سیستم‌های هدف استفاده می‌کنند، عمل می‌کند.

چیزی که در این مورد متفاوت است این نکته است که payload مخرب یک صفحه فیشینگ است که بازسازی شده و در مرورگر وب به کاربر نمایش داده می‌شود.

صفحه فیشینگ، به نوبه خود، از قربانی می‌خواهد که با Microsoft Outlook یا Office 365 (اکنون مایکروسافت 365) وارد سیستم شود تا یک محتوای PDF ادعا شده را مشاهده کند. در صورت پیگیری توسط کاربر، صفحات ورود جعلی که در Cloudflare Workers میزبانی می‌شوند، برای جمع‌آوری اعتبارنامه و کد‌های احراز هویت چند عاملی (MFA) استفاده می‌شوند.

مایکل آلکانتارا گفت: "کل صفحه فیشینگ با استفاده از نسخه اصلاح شده یک جعبه ابزار متن باز Cloudflare AitM ایجاد شده است. هنگامی که قربانی به صفحه ورود مهاجم دسترسی پیدا می‌کند، مهاجم متادیتای درخواست وب خود را جمع‌آوری می‌کند".

وی افزود: "هنگامی که قربانی اعتبارنامه خود را وارد کرد، وارد وب‌سایت قانونی می‌شود و مهاجم توکن‌ها و کوکی‌ها را متعاقبا جمع‌آوری می‌کند. علاوه بر این، مهاجم همچنین می‌تواند هر فعالیت اضافی را که قربانی پس از ورود انجام می‌دهد، مشاهده نماید".

قاچاق HTML به عنوان مکانیزم تحویل payload به طور فزاینده‌ای توسط عوامل تهدید مورد‌توجه قرار‌گرفته است که میل به دور زدن دفاع‌های مدرن دارند، و این امکان را فراهم می‌کند که صفحات HTML جعلی و سایر بدافزار‌ها را بدون هیچ‌گونه ایجاد هشداری، ارائه دهند.

در یک نمونه که توسط Huntress Labs شناسایی شده است، از فایل HTML جعلی برای تزریق یک iframe از پورتال تایید هویت قانونی مایکروسافت استفاده می‌شود که از یک دامنه کنترل شده توسط مهاجم بازیابی شده است.

مت کیلی، محقق امنیتی، گفت: "این ویژگی دارای یک حمله فیشینگ پروکسی شفاف با بای‌پس MFA دشمن میانی است، اما از یک payload قاچاق HTML با یک iframe تزریقی به جای لینک ساده استفاده می‌کند".

کمپین دیگری که توجه‌ها را به خود جلب کرده است شامل ایمیل‌های فیشینگ با مضمون فاکتور‌های فروش بوده که حاوی لینک‌های HTML است که به عنوان صفحات ورود به سیستم نمایشگر PDF ظاهر می‌شوند تا اعتبارنامه حساب ایمیل کاربران را قبل از هدایت آن‌ها به URL که میزبان به اصطلاح «تایید پرداخت» است، به سرقت ببرند.

در سال‌های اخیر، حملات فیشینگ مبتنی بر ایمیل اشکال مختلفی داشته است، از‌جمله استفاده از ابزار‌های فیشینگ به عنوان سرویس یا Phishing-as-a-Service (PhaaS) مانند Greatness برای سرقت اعتبارنامه ورود مایکروسافت 365 و دور زدن MFA با استفاده از تکنیک AitM، گنجاندن کد‌های QR در فایل‌های PDF توسط مهاجمان و استفاده از بررسی‌های CAPTCHA قبل از هدایت مجدد قربانیان به صفحه ورود جعلی.
takian.ir new tricks in phishing playbook 2خدمات مالی، تولید، انرژی/آب و برق، خرده‌فروشی، و نهاد‌های مشاوره مستقر در ایالات متحده، کانادا، آلمان، کره جنوبی و نروژ به عنوان بخش‌های برتر مورد هدف Greatness PhaaS ظاهر شده‌اند.

محققان Trellix می‌گویند: "این سرویس‌ها قابلیت‌های پیشرفته‌ای را ارائه می‌کنند که با صرفه‌جویی در زمان آنها برای توسعه و تاکتیک‌های فرار، برای مهاجمان جذابیت دارد".

این توسعه در حالی اتفاق می‌افتد که عوامل تهدید دائما راه‌های جدیدی برای پیشی گرفتن از سیستم‌های امنیتی و انتشار بدافزار با توسل به هوش مصنوعی مولد (GenAI) برای ایجاد ایمیل‌های فیشینگ موثر و ارائه فایل‌های پیوست فشرده حاوی payload‌های بدافزار بسیار بزرگ (با حجم بیش از ١٠٠ مگابایت) و به امید فرار از امکان شناسایی پیدا می‌کنند.

این شرکت امنیت سایبری گفت: "اسکن فایل‌های بزرگ‌تر زمان و منابع بیشتری می‌طلبد، که می‌تواند عملکرد کلی سیستم را در طول فرآیند اسکن کُند کند. برای به حداقل رساندن ردپای این بهره‌کشی سنگین از حافظه، برخی از موتور‌های آنتی ویروس ممکن است محدودیت‌هایی برای اسکن تعیین کنند که منجر به حذف فایل‌های بزرگ از لیست بررسیشان شود".

روش افزایش فایل به عنوان یک ترفند حمله برای ارائه بدافزار‌های اضافی مانند Agent Tesla، AsyncRAT، Quasar RAT و Remcos RAT مشاهده شده است.

علاوه بر این، استفاده خصمانه و مجرمانه از GenAI برای توسعه بهره‌برداری و تولید دیپ فیک توسط مهاجمان مختلف، بر نیاز به اقدامات امنیتی قوی، دستورالعمل‌های اخلاقی و مکانیسم‌های نظارتی تاکید می‌کند.

این نوآوری‌ها برای دور زدن مکانیسم‌های تشخیص سنتی به کمپین‌هایی مانند TrkCdn، SpamTracker و SecShow نیز گسترش یافته است که از تونلینگ سیستم نام دامنه (DNS) برای نظارت بر زمانی که اهدافشان ایمیل‌های فیشینگ را باز می‌کنند و روی لینک‌های مخرب کلیک می‌کنند، تحویل هرزنامه را رد‌یابی می‌کنند و همچنین برای اسکن شبکه‌های قربانی برای آسیب‌پذیری‌های احتمالی، استفاده می‌کنند.
takian.ir new tricks in phishing playbook 3واحد ٤٢ شبکه پالو آلتو در گزارشی که در اوایل ماه جاری میلادی منتشر شد، گفت: "تکنیک تونلینگ DNS مورد استفاده در کمپین TrkCdn برای رد‌یابی تعامل قربانی با محتوای ایمیل آن است. هنگامی که محتوای ایمیل باز می‌شود، یک کوئری DNS را برای زیر دامنه‌های کنترل شده توسط مهاجم انجام می‌دهد".

این گزارس می‌افزاید: "SpamTracker از ایمیل‌ها و لینک‌های وب‌سایت برای ارائه محتوای هرزنامه و فیشینگ استفاده می‌کند. هدف این کمپین این است که قربانیان را فریب دهد تا روی لینک‌هایی کلیک کنند که عوامل تهدید payload خود را در زیر دامنه‌های آن پنهان کرده‌اند".

این یافته‌ها همچنین در بحبوحه افزایش کمپین‌های بد‌افزاری که از تبلیغات مخرب برای نرم‌افزار‌های محبوب در نتایج موتور‌های جستجو برای فریب کاربران جهت نصب بدافزار‌های سارق اطلاعات و تروجان‌های دسترسی از راه دور مانند SectopRAT (معروف به ArechClient) استفاده می‌کنند، به دست آمده است.

علاوه بر این، مهاجمان بسیار مخربی مشاهده شده‌اند که صفحات تقلبی را با تقلید از موسسات مالی مانند Barclays را طراحی کرده‌اند، که نرم‌افزار دسکتاپ از راه دور قانونی مانند AnyDesk را به بهانه ارائه پشتیبانی چت زنده ارائه می‌دهند و به آنها امکان دسترسی از راه دور به سیستم‌های قربانیان را می‌دهد.

برچسب ها: SpamTracker, TrkCdn, SecShow, ArechClient, Greatness, iframe, HTML smuggling, قاچاق HTML, transparent phishing, دشمن میانی, Cloudflare Workers, Agent Tesla, Generative Artificial Intelligence, هوش مصنوعی مولد, GenAI, Domain Name System, AsyncRAT, Quasar RAT, AiTM, Adversary-in-the-middle, Remcos RAT, Reverse Proxy, پروکسی معکوس, Artificial Intelligence, Credential, Yahoo, Phishing-as-a-service, PhaaS, تونلینگ, SectopRat, اعتبارنامه, AnyDesk, هرزنامه, Tunneling, Cloudflare, cybersecurity, Microsoft, DNS, office 365, Gmail , Spam, phishing, malware, جاسوسی سایبری, فیشینگ, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل