شبکه و فناوری

کرونا فرصتی برای حملات سایبری!

ویروس کرونا فرصتی شد برای حملات سایبری!

ویروس کرونا (COVID-19) خبر داغ این روزها در سراسر دنیاست، زندگی میلیون‌ها نفر را در سراسر دنیا تحت تاثیر خود قرار داده است. آمار ابتلا و مرگ و میر ناشی از این ویروس، راهکارهای پیشگیری و یا تشخیص آن، تامین و خرید وسایلی مانند ماسک، ژل ضدعفونی و مواد شوینده به موضوعات داغی تبدیل شده‌اند که مردم آن‌ها را به شدت دنبال می‌کنند. وضعیت برای مردم به خصوص ساکنین کشورهایی مانند چین، ایران ، بریتانیا و ایتالیا بحرانی می‌باشد ولی این وضعیت بحرانی به یک فرصت بزرگ برای مهاجمان سایبری تبدی شده است. مهاجمینی که تا قبل از این برای انجام فیشینگ، با استفاده از مهندسی اجتماعی هرزنامه‌هایی را طراحی می‌کردند به امید اینکه بتواند مخاطبین و گیرندگان این ایمیل ها را قانع کنند تا بر روی لینک مخرب کلیک کنند و یا فایل‌های پیوست  شده آلوده را باز کنند و حتی دانلود نمایند. حال با شیوع کرونا و همه گیر شدن آن، طراحی هرزنامه‌ها و راه اندازی حملات موفق فیشینگ بسیار آسان تر و در عین حال موفق‌تر شده است. در چند ماه اخیر کشورهایی مانند امریکا، روسیه و ژاپن گزارشاتی در خصوص حملات فیشینگ با موضوع کرونا را ارائه دادند، متاسفانه ایران و سازمان‌های مربوط به آن ، هیچ آمار و گزارش دقیقی در این رابطه تا به حال منتشر نکرده‌است. اما بنابر گزارشات متعدی از سوی سفوس  ،فورتی‌نت و کسپرسکی با موجی از حملات سایبری روبرو هستیم که درآن‌ها از موضوع ویروس کرونا سواستفاده کردهاند. در این مقاله ، با تشریح روش‌های مهاجمین ضمن اطلاع رسانی و ایجاد آگاهی در خصوص این حملات راهکارهای موثر برای شناسایی و مقابله با آن‌ها را به شما معرفی میکند.

فیشینگ با موضوع کرونا

موضوع داغ کرونا این روزها به مهاجمان سایبری کمک کرده تا طیف وسیعی از هرزنامه‌ها را ایجاد کنند، هرزنامه‌هایی که می‌توانند گیرندگان را به راحتی قانع کنند تا آن‌ها را باز کرده، بر روی لینک مخرب موجود در آن کلیک نمایند و یا فایل آلوده پیوست شده را بگشایند. هرزنامه‌هایی مانند آخرین بروزرسانی‌ها در ارتباط با COVID-19 که به ظاهر از سمت وزارت بهداشت ارسال شده‌ اند و یا هرزنامه‌هایی که تاخیر در ارسال محموله‌ها را به اطلاع صاحبان صنایع می‌رساند، هرزنامه‎‌های خبر از کشف واکسن کرونا، تنها نمونه‌هایی از حملات فیشینگی هستند که در ماههای اول سال 2020 اتفاق افتاده‌اند. در این وضعیت ارگانها و شرکت ها می‌توانند به راحتی هدف حملات Spear-phishing قرار بگیرند. حملاتی که با توجه به نوع فعالیت ارگانها در رابطه با موضوع کرونا تهیه شده اند. همانطور که در بخش گزارشات امنیتی در ارتباط با حملات فیشینگ گفتیم، آموزش کاربران یکی از موثرترین و بهترین راهکار هاست. حالا که متوجه شدید با چنین تهدیداتی روبرو هستید، زمان آن رسیده تا به رایانامه‌هایی که با موضوع ویورس کرونا دریافت می‌کنید به صورت مشکوکتر و بدبینانه تر نگاه کنید و اول از صحت ارسال کننده آن مطمئن شوید و سپس با نشانی رایانامه، سایت مربوطه و دقت به دامنه آن فایل را بگشایید. در اینجا برخی دامنه ها و فایل‌هایی که در این حملات استفاده شده‌اند را جمع آوری کردیم تا آنها را بخوانید و در ذهن خود ثبت کنید.

نام دامنه ها و فایل‌های حملات فیشینگ با موضوع کرونا

 

corona-armored[.]com

corona-crisis[.]com

corona-emergency[.]com

corona-explained[.]com

corona-iran[.]com

corona-ratgeber[.]com

coronadatabase[.]com

coronadeathpool[.]com

coronadetect[.]com

coronadetection[.]com

contra-coronavirus[.]com

 

acccorona[.]com

alphacoronavirusvaccine[.]com

anticoronaproducts[.]com

beatingcorona[.]com

beatingcoronavirus[.]com

bestcorona[.]com

betacoronavirusvaccine[.]com

buycoronavirusfacemasks[.]com

byebyecoronavirus[.]com

cdc-coronavirus[.]com

combatcorona[.]com

شرح بدافزارهایی چندمنظوره ای که با موج کرونا

محققان امنیتی اظهار کرده‌اند در چهار ماه اخیر، بدافزاهای چند منظوره‌ای که در این حملات سایبری استفاده شده‌است یکسان هستند. بدافزارهای Emotet، XMRig و Trickbot که در مجموع ۳۰% سازمان‌ها در دنیا را با سوار شدن بر موج کرونا مورد حمله قرار دادند. حملات این بدافزارها شدیدا مخرب است و با اهدافی مانند سرقت اطلاعات از پایگاه داده  و یا به وجود آوردن اختلال در عملکرد ارگانها و شرکت ها راه اندازی شده است. تاکید میکنیم، کارکنان سازمان‌ها باید آموزش ببینند تا از بارگذاری، باز کردن فایلها و یا کلیک بر روی لینکهایی که از خارج از سازمان آمده‌اند تا زمانی که صحت این فایلها برایشان محرز نشده است، خودداری نمایند.

Emotet : که تا قبل از این به عنوان یک تروجان بانکی مورد استفاده قرار می‌گرفت، در حال حاضر در این کمپین‌های کرونایی به عنوان توزیع کننده سایر بدافزارها به کار گرفته می‌شود. این بدافزار پیشرفته و ماژولار که قابلیت خود-انتشاری نیز دارد از طریق هرزنامه‌هایی که بر روی موج کرونا سوار شده‌اند هم در طول این چهار ماه به سمت قربانیان ارسال شده اند.

XMRig بدافزاری است که برای اولین بار در ماه می ۲۰۱۷ شناسایی شده است و یک نرم افزار opensource است که برای یافتن بیت کوین مونرو مورد استفاده قرار می‌گیرد.

Trickbot یک تروجان بانکی می باشد که دائما با ویژگی‌های جدید بروزرسانی میشود. این بدافزار همانطور که گفتیم قابلیت منعطف و قابل تنظیمی دارد و با همین ویژگی‌ رنگ عوض کردن قادر است در کمپین‌های چند منظور مورد استفاده قرار بگیرد. بدافزاری که برای شناسایی‌اش نیازمند راهکارهای مبتنی بر الگوریتمهای هوش مصنوعی  هستیم.

Agent Tesla یک RAT پیشرفته است که به عنوان Keylogger عمل می‌کند. ورودی‌های کیبورد قربانی را پویش کرده و سپس جمع آوری می‌نماید. از صفحه نمایشگر قربانی اسکرین شات گرفته و نام کاربری و گذرواژه‌های مربوط به نرم افزارهای مختلف قربانی از جمله Google Chrom، Mozilla Firefox و Microsoft Outlook را سرقت میکنند.

Formbook که یک سارق اطلاعات است و نام کاربری و گذرواژه‌ها را از مرورگرهای گوناگون جمع آوری میکند. این بدافزار اسکرین شات گرفته و می‌تواند از سرور خود فایل دانلود را انجام داده و اجرا کند.

Ramnit یک تروجان بانکی است که اطلاعات شخصی، کوکی جلسات، گذرواژه‌های FTP و نام کاربری و گذرواژه‌های بانکی را سرقت می‌نماید.

Vidar: سیستم عامل‌های ویندوز را مورد حمله قرار می دهد و برای سرقت گذرواژه‌ها، اطلاعات کارت‌های اعتباری و مابقی اطلاعات حساس مربوط به کیف پول‌های دیجیتال و مرورگرهای وب مورد استفاده قرار می‌گیرد. این بدافزار به عنوان dropper بدافزارهایی مانند GandCrab نیز مورد استفاده قرار می‌گیرد.

Lokibot: که بیشتر توسط حملات فیشینگ توزیع می‌شود با هدف سرقت نام کاربری و گذرواژه رایانامه‌ها، کیف پول‌های CryptoCoin و سرورهای FTP طراحی شده‌اند.

Hawkey: این بدافزار توانایی سرقت گذرواژه‌های رایانامه‌ها و مرورگرهای وب را دارد و امروزه به عنوان بدافزار به عنوان سرویس به فروش می‌رسد.

xHElper : یک برنامه کاربردی مخرب است وبرای بارگذاری سایر برنامه‌های کاربردی مخرب و همچنین تبلیغات استفاده میگردد. این بدافزار چنین قابلیتی داردکه خود را از دید سایر بدافزارها مخفی نگه دارد و اگر توسط کاربر نصبش لغو شد مجددا خود را نصب نماید.

نتیجه گیری و راهکارها

کرونا و حملات فیشینگ از موضوعات داغ در آغاز سال 2020 میلادی به شمار می‌رود. شیوع کرونا در دنیا برای مردم دنیا به بدترین رنج و برای مهاجمین سایبری به فرصتی بسیار مناسب تبدیل شده است. حملات فیشینگی که با سواستفاده از چالش کرونا موفق عمل کرده‌اند و انتشار بدافزارهایی که بر روی موج کرونا در حرکت هستند .در این بین موضوع دورکاری توسط بسیاری از سازمان‌ها نیز بدون داشتن یک زیر ساخت امنیتی مناسب اجرا شده است که خود سطح آسیب پذیری کاربران و سازمان‌ها را بالا می‌برد. در ارتباط با راهکارهای موثر در برابر این موج جدید حملات سایبری، اولین و موثرترین راهکار، آموزش کاربران است تا حساسیت و دقت بالایی را در مقابل رایانامه‌ها، لینکها و اسنادی که در ارتباط با موضوع کرونا دریافت می‌کنند داشته باشند و همواره از صحت فرستنده اطمینان حاصل نمایند. استفاده از راهکارهای ضدهرزنامه نیز موضوعی است که باید جدی گرفته شود. همچنین اگر شرکتی هستید که در این دوره زمانی به سمت دورکاری رفته‌اید حتما یک طرح جامع امنیتی را با مشاوره و همراهی شرکت‌های فعال در حوزه امنیت داده‌ها و امنیت شبکه، پیاده سازی نمایید. در ارتباط با برخی از بدافزارهای منتشر شده در چند ماهه اخیر نیز باید بگوییم این دسته از تهدیدات که قابلیت تغییر ویژگی‌های خود را دارند و برای شناسایی آن‌ها نیاز به پیاده‌سازی راهکارهای مبتنی بر هوش مصنوعی است.