انتشار شده در تاریخ 1403/05/18 - 14:32

حمله سایبری به رستوران زنجیره‌ای کانادایی با بدافزار کامیليون

پژوهشگران در ماه جولای یک کمپین جدید را کشف کرده‌اند که به کارکنان بخش مهمان‌داری در کانادا و اروپا حمله کرده و از بدافزار بانکی معروف به کامیليون به معنای آفتاب‌پرست استفاده کرده است.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، بر اساس گزارشی که روز دوشنبه توسط شرکت امنیت سایبری تریت فابریک (Threat Fabric) منتشر شد، یکی از اهداف هکرها یک رستوران زنجیره‌ای کانادایی که به طور بین‌المللی فعالیت می‌کند، بوده است.

در این حملات، کامیليون به عنوان یک اپلیکیشن مدیریت ارتباط با مشتری (CRM) که اغلب در صنعت مهمان‌داری برای اتوماسیون وظایف، ارتباطات و تحلیل داده‌ها استفاده می‌شود، به نمایش درآمد.

شرکت تریت فابریک مشخص نکرده است که این اپلیکیشن چه نامی دارد.

پژوهشگران اشاره کردند که سایر قربانیان احتمالی این کمپین، کارکنان بخش مهمان‌داری و احتمالاً کارکنان خرده‌فروشی مستقیم به مشتریان در کانادا و اروپا هستند.

اگر مهاجمان موفق به آلوده کردن دستگاهی با دسترسی بانکی شرکتی شوند، کامیليون می‌تواند حساب‌های بانکی تجاری را هدف قرار دهد.

پژوهشگران بیان کردند:

احتمال بالاتر دسترسی به این نوع حساب‌ها برای کارمندانی که نقش‌های آنها مدیریت ارتباط با مشتریان است، احتمالاً دلیل انتخاب این روش در کمپین اخیر است.

گزارش مشخص نمی‌کند که هکرها چگونه ابتدا به سیستم‌های هدف دسترسی پیدا کردند، اما نشان می‌دهد که اولین مرحله از فرآیند نصب بدافزار شامل یک دراپر است که قادر به دور زدن محدودیت‌های امنیتی در نسخه‌های 13 و بالاتر سیستم‌عامل اندروید است.

پس از بارگذاری، دراپر یک صفحه جعلی با فیلدهای ورود به مدیریت ارتباط با مشتریان را نمایش می‌دهد و از کاربر درخواست شناسه کارمندی می‌کند.

اگر کاربر بر روی پیامی که از آنها درخواست می‌کند اپلیکیشن را دوباره نصب کنند، کلیک کند، کامیليون کامپیوتر را آلوده می‌کند.

پس از نصب، کاربران به یک وبسایت جعلی هدایت می‌شوند که از آنها درخواست اعتبارنامه‌های کارمندی می‌کند.

از آنجا که کامیليون در پس‌زمینه در حال اجراست، قادر است تا اطلاعات حساس و اعتبارنامه‌ها را از طریق ضبط کلیدها جمع‌آوری کند.

پژوهشگران اظهار کردند:

این اطلاعات می‌تواند در حملات بعدی استفاده شود، یا مهاجمان می‌توانند با فروش آن در فوروم‌های زیرزمینی کسب درآمد کنند.

این بدافزار در دسامبر 2022 کشف شد و پیش‌تر به نهادهایی در استرالیا، ایتالیا، لهستان و بریتانیا نیز حمله کرده است.

تریت فابریک همچنین حملات اخیر کامیليون به مشتریان سازمان‌های مالی نامشخص را مشاهده کرده است که بدافزار به عنوان یک اپلیکیشن امنیتی که یک گواهی امنیتی منتشر شده توسط بانک را نصب می‌کند، نمایش داده شده است.

در حوادث سال گذشته، این بدافزار قربانیانی در استرالیا و لهستان پیدا کرده و خود را به عنوان نهادهایی مانند دفتر مالیات استرالیا (ATO) و اپلیکیشن‌های بانکی محبوب معرفی کرده بود.