تکنیک جدید فیشینگ با نرمافزار دسترسی از راه دور
اخبار داغ فناوری اطلاعات و امنیت شبکه
یک تکنیک جدید فیشینگ به مجرمان سایبری اجازه میدهد تا از سد احراز هویت چند عاملی (MFA) عبور کنند. این تکنیک شامل ورود مخفیانه قربانیان به حسابهای خود در سرورهای کنترل شده توسط مهاجم با استفاده از VNC است.
تکنیک جدید فیشینگ
یک محقق امنیتی به نام mr.d0x در حال انجام pen-testing برای یک شرکت بود و در نهایت برای به دست آوردن اعتبار حساب، یک حمله فیشینگ علیه کارمندان مشتری ایجاد کرد.
این محقق با استفاده از نرمافزار دسترسی از راه دور (noVNC) و مرورگرهایی که در حالت kiosk کار میکنند، یک حمله فیشینگ ایجاد کرد تا اعلان ورود بهایمیل را در سرور مهاجم اجرا شده، در مرورگر قربانی نشان دهد.
در این حمله، از فریمورک حمله Evilginx2 استفاده شد که به عنوان یک پروکسی معکوس برای سرقت اطلاعات کاربری/کدهای MFA عمل میکند.
این تکنیک فیشینگ MFA را دور میزند زیرا کاربر رمز عبور یک بار مصرف را مستقیماً در سرور مهاجم وارد میکند و دستگاه را برای ورود به سیستم در آینده نیز مجاز اعلام مینماید.
چرا از noVNC استفاده کنیم؟
اساساً VNC به کاربران راه دور اجازه میدهد تا به دسکتاپ کاربر وارد شده، متصل شده و آن را کنترل کنند. با این حال، نرمافزار noVNC به کاربران اجازه میدهد تا تنها با کلیک بر روی یک لینک، از داخل یک مرورگر به سرور VNC متصل شوند.
این حمله چگونه کار میکند؟
هدف از این حملات، این است که کاربران را وادار به کلیک بر روی یک لینک مخرب سفارشی کند تا قربانیان را گول بزند که گویی در حال کار بر روی مرورگر خود هستند، در حالی که این لینک روی دستگاه از راه دور از طریق noVNC کار میکند.
برای شروع، مهاجم باید سروری با noVNC راهاندازی کند، هر مرورگری را در حالت kiosk اجرا کند و به وبسایتی واقعی که مهاجم میخواهد کاربر آن را احراز هویت کند (مانند accounts.google.com) مراجعه نماید.
مهاجمان لینکی را به کاربر مورد نظر ارسال میکنند که عمدتاً ازایمیلهای spear-phishing استفاده میکنند. این لینکها به طور خودکار مرورگر هدف را راهاندازی میکنند و بدون اینکه متوجه شوند وارد سرور VNC راه دور مهاجم میشوند.
لینکها قابل تنظیم هستند و شبیه URLهای ورود به سیستم VNC مشکوک نیستند. هنگامی که قربانی روی یک لینک کلیک میکند، به سادگی یک صفحه لاگین و ورود به سیستم را میبیند.
هنگامی که یک کاربر وارد سیستم میشود، مهاجم میتواند از ابزارهای مختلف برای سرقت اطلاعات کاربری یا توکنهای امنیتی استفاده کند.
نتیجهگیری
تکنیک فیشینگ نشان داده شده هنوز در حملات دنیای واقعی استفاده نشده است. با این حال، محققان مشکوک هستند که میتواند در آینده مورد استفاده قرار گیرد. بنابراین توصیه میشود هرگز روی آدرسهای فرستنده ناشناس کلیک نکنید. علاوه بر این، کاربران باید هنگام دریافت هرایمیلی به خصوص درخواست ورود به سیستم و بررسی لینکها برای دامینهای غیر معمول، هوشیار باشند.
برچسب ها: کلیک, Remote, دسترسی از راه دور, mr.d0x, pen-testing, Evilginx2, noVNC, VNC, kiosk, احراز هویت چند عاملی, Multi-factor authentication, spear-phishing, مرورگر, پروکسی, Browser, لینک, MFA, phishing, احراز هویت, Cyber Security, فیشینگ, امنیت سایبری, Cyber Attacks, حمله سایبری