موج جدید فیشینگ با سوءاستفاده از دعوت‌نامه‌های زوم و تیمز

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، محققان امنیتی از افزایش حملات فیشینگ خبر می‌دهند که بر اعتماد کاربران به ابزارهای ویدئوکنفرانس تکیه دارد.

مهاجمان با ارسال ایمیل‌های جعلی شبیه دعوت‌نامه داخلی سازمان، کارمندان را به شرکت در جلسه‌ای فوری ترغیب می‌کنند.

پس از کلیک، قربانی وارد صفحه‌ای کاملاً مشابه نسخه اصلی سرویس می‌شود؛ حتی فهرست شرکت‌کنندگان به‌صورت پویا نمایش داده می‌شود تا حس فوریت و ترس از جا ماندن (FOMO) ایجاد شود.

در مرحله بعد، صفحه اعلام می‌کند نسخه نرم‌افزار قدیمی یا ناسازگار است و برای ورود به جلسه باید «به‌روزرسانی اجباری» دانلود شود.

این لینک‌ها کاربر را به دامنه‌های تایپواسکوآت هدایت می‌کند و فایل اجرایی یا MSI امضاشده‌ای با نام‌هایی مانند GoogleMeet.exe یا ZoomWorkspaceinstallersetup.msi دانلود می‌شود.

بر اساس گزارش آزمایشگاه تهدید نت اسکوپ (Netskope Threat Labs)، بدافزار اصلی در واقع ابزارهای قانونی مدیریت و پایش از راه دور (RMM) است؛ از جمله ابزار مدیریت و پایش از راه دور داتو (Datto RMM)، لاگ می این (LogMeIn) و اسکرین کانکت (ScreenConnect).

این ابزارها دارای امضای دیجیتال معتبر هستند و در بسیاری از سازمان‌ها از پیش مجاز شده‌اند، بنابراین ممکن است از فیلترهای آنتی‌ویروس و سامانه‌های تشخیص نفوذ عبور کنند.

پس از نصب، عامل مدیریت و پایش از راه دور دسترسی مدیریتی کامل به سیستم می‌دهد: مشاهده صفحه، انتقال فایل، اجرای دستورات و حتی استقرار باج‌افزار بدون نیاز به بدافزار سفارشی.

این دسترسی اولیه به مهاجمان اجازه می‌دهد به‌صورت پنهانی داده سرقت کنند یا شبکه را برای اهداف باارزش‌تر شناسایی کنند.

کارشناسان توصیه می‌کنند سازمان‌ها احراز هویت چندمرحله‌ای ایمیل را فعال، سیاست allowlisting سخت‌گیرانه اعمال، ترافیک خروجی به سرورهای مدیریت و پایش از راه دور را پایش و تحلیل رفتاری برای شناسایی دسترسی‌های غیرعادی اجرا کنند.

همچنین آموزش مستمر کارکنان و شبیه‌سازی حملات فیشینگ برای افزایش تاب‌آوری انسانی ضروری است.