هدف قرار دادن سرمایه‌گذاران رمزارز با بدافزار جدید

به گزارش کارگروه بین‌الملل سایبربان؛ کارشناسان براین باورند که هکرها و مجرمان سایبری سرمایه‌گذاران کریپتو را با 2 تهدید بدافزار جدید هدف قرار داده‌اند و در اینترنت به دنبال سرمایه‌گذاران بی‌احتیاط برای سرقت وجوه آنها هستند.

طبق گزارش اخیر شرکت نرم‌افزاری ضدبدافزار «Malwarebytes»، 2 تهدید امنیتی سایبری جدید، شامل باج‌افزار «MortalKombat» اخیراً کشف شده و نوع «GO» بدافزار «Laplas Clipper»، در کمپین هایی با هدف سرقت ارزهای دیجیتال از قربانیان به کار گرفته شده است.

قربانیان حمله فیشینگ جدید عمدتاً در ایالات متحده و درصد کمتری از قربانیان در بریتانیا، ترکیه و فیلیپین هستند.

سیسکو تالوس (Cisco Talos)، تیم تحقیقاتی اطلاعات تهدید این شرکت، گفت که آنها مجرمی را در حال اسکن اینترنت برای اهداف بالقوه با پورت 3389 پروتکل دسکتاپ از راه دور (RDP)، یک پروتکل اختصاصی که یک رابط گرافیکی برای کاربر فراهم می‌کند تا از طریق آن به رایانه دیگری از طریق اتصال شبکه متصل شود، مشاهده کردند.

در این تحقیق آمده است که این کمپین با یک ایمیل فیشینگ شروع می‌شود و یک زنجیره حمله چند مرحله‌ای را آغاز می‌کند که در آن عامل بدافزار یا باج‌افزار را ارائه می‌دهد، سپس شواهدی از فایل‌های مخرب را حذف می‌کند و ردیابی‌های آن‌ها و تجزیه و تحلیل چالش‌برانگیز را پوشش می‌دهد.

ایمیل فیشینگ همراه با یک فایل زیپ (ZIP) مخرب و حاوی یک اسکریپت بارگیری «BAT» است که وقتی قربانی آن را باز می‌کند، فایل زیپ مخرب دیگری را دانلود می‌کند. این بدافزار همچنین دستگاه قربانی را آلوده و محموله را اجرا می‌کند که یا نوع GO بدافزار Laplas Clipper یا باج‌افزار MortalKombat است.

تیم تحقیقاتی اطلاعات تهدید در گزارش خود نوشتند :

«اسکریپت لودر، بار کاهش‌یافته را به‌عنوان یک فرآیند در دستگاه قربانی اجرا و سپس فایل‌های مخرب دانلود و رها شده را حذف می‌کند تا نشانگرهای آلوده پاک شود. یک عامل معمول حمله برای مجرمان یک ایمیل فیشینگ بوده که آنها در آن «CoinPayments»، یک درگاه پرداخت جهانی ارز دیجیتال قانونی، را جعل می‌کنند.»

برای اینکه ایمیل‌ها مشروع‌تر به نظر برسند، آنها دارای یک فرستنده جعلی، «noreply[at]CoinPayments[.]net» و موضوع ایمیل «[CoinPayments[.]net] Payment Timed» هستند.

در این مناسبت خاص، یک فایل زیپ مخرب با نام فایلی شبیه شناسه تراکنش ذکر شده در متن ایمیل ضمیمه می‌شود، که قربانی را مجذوب می‌کند تا پیوست مخرب را از حالت فشرده خارج و محتویات را مشاهده کند که یک بارگزار BAT مخرب است.

افزایش تهدیدات باج‌افزاری، علیرغم کاهش درآمد

به گفته کارشناسان، حملات باج‌افزاری و امنیت سایبری همچنان در حال افزایش است. با این حال، طبق گزارش اخیر «Chainalysis»، که نشان می‌دهد درآمد باج‌افزار مهاجمان در سال گذشته 40 درصد کاهش یافته، قربانیان به طور فزاینده‌ای تمایلی به پرداخت مطالبات مهاجمان ندارند.

کارشناسان ادعا کرده‌اند که گروه‌های هکر کره شمالی بخش بزرگی از فعالیت‌های غیرقانونی سایبری را به خود اختصاص می‌دهند. اخیراً، آژانس‌های اطلاعاتی کره جنوبی و ایالات متحده هشدار دادند که هکرهای مستقر در پیونگ‌یانگ در تلاش هستند تا با حملات باج‌افزاری به «مؤسسات بین‌المللی بزرگ» ضربه بزنند.

در ماه دسامبر 2022، شرکت امنیت سایبری کسپرسکی فاش کرد که «BlueNoroff»، زیرگروهی از گروه هک لازاروس (Lazarus) تحت حمایت دولت کره شمالی، سرمایه‌دارانی که به دنبال سرمایه‌گذاری در استارت‌آپ‌های رمزنگاری با روشی جدید فیشینگ هستند، را جعل هویت کرده‌اند.