شناسایی کمپین جدید بدافزاری در خاورمیانه

به گزارش کارگروه بین‌الملل سایبربان؛ متخصصان اطلاعات تهدید در مرکز امنیت تخصصی «Positive Technologies» کمپین بدافزار جدیدی را شناسایی و تجزیه و تحلیل کردند که افراد را در خاورمیانه و شمال آفریقا هدف قرار می‌دهد. این کمپین که از سپتامبر 2024 فعال است، از نسخه اصلاح شده «AsyncRAT» برای هدف قرار دادن قربانیان استفاده می‌کند. برای گسترش بدافزار، مهاجمان به عنوان رسانه خبری ظاهر شدند و پست‌های تبلیغاتی با پیوندهایی به پلتفرم‌های اشتراک‌گذاری فایل یا کانال‌های تلگرام ایجاد کردند. بدافزار اصلاح شده برای سرقت اطلاعات کیف پول ارزهای دیجیتال و برقراری ارتباط با یک ربات تلگرام طراحی شده است.

این تحقیقات تقریباً 900 قربانی بالقوه را نشان داد که بیشتر آنها کاربران روزمره هستند. در میان افراد آسیب‌دیده کارکنانی هستند که در صنایعی مانند نفت و گاز، ساخت و ساز، فناوری اطلاعات و کشاورزی فعالیت می‌کنند.

به گفته محققان، بیشترین قربانیان در لیبی (49 درصد)، عربستان سعودی (17 درصد)، مصر (10 درصد)، ترکیه (9 درصد)، امارات (7 درصد)، قطر (5 درصد) و سایر کشورها واقع شده‌اند.

گروه پشت این کمپین «Desert Dexter» نام داشت که به نام یکی از نویسندگان مظنون نامگذاری شد. در طول تحقیقات، کارشناسان دریافتند که مهاجمان برای دور زدن فیلترهای تبلیغاتی پلتفرم، به حساب‌های موقت و کانال‌های اخبار جعلی در فیس‌بوک متکی هستند. حمله مشابهی توسط محققان چک پوینت (Check Point) در سال 2019 ثبت شد، اما کمپین فعلی، تکنیک‌های جدیدی را به زنجیره حمله معرفی می‌کند.

دنیس کووشینوف (Denis Kuvshinov)، رئیس اطلاعات تهدید در مرکز امنیت تخصصی Positive Technologies، اظهار داشت:

«این حمله یک فرآیند چند مرحله‌ای را دنبال می‌کند. قربانی از یک پست تبلیغاتی به یک سرویس اشتراک‌گذاری فایل یا یک کانال تلگرامی هدایت می‌شود که توسط مهاجمان اداره می‌شود و از یک رسانه تقلید می‌کند. از آنجا، قربانی یک بایگانی ضروری RAR و فایل‌های RAT دانلود می‌کند. اطلاعات سیستم و ارسال آن به ربات تلگرام مهاجمان نسخه AsyncRAT مورد استفاده در این کمپین شامل یک ماژول IdSender اصلاح شده است که اطلاعات مربوط به پسوندهای کیف پول رمزنگاری، برنامه‌های افزودنی احراز هویت 2 مرحله‌ای در مرورگرهای مختلف و نرم‌افزار مورد استفاده برای مدیریت کیف پول‌های رمزنگاری شده را جمع‌آوری می‌کند.»

درحالی‌که ابزارهای Desert Dexter چندان پیچیده نیستند، استفاده از تبلیغات رسانه‌های اجتماعی، خدمات قانونی و مفهوم ژئوپلیتیکی منطقه، این کمپین را مؤثر ساخته است. این گروه پیام‌هایی درباره اطلاعات محرمانه منتشر می‌کند و باعث می‌شود زنجیره حمله به اندازه کافی دستگاه‌های کاربران عادی و مقامات بلندپایه را آلوده کند. محققان خاطرنشان کردند که تنش‌های مداوم در خاورمیانه و شمال آفریقا، منطقه را به هدف اصلی برای حملات سایبری با هدف نهادهای دولتی و کاربران فردی تبدیل کرده است. موضوعات سیاسی همچنان یک فریب رایج در کمپین‌های فیشینگ هستند، حملات پیچیده‌تر = و بدافزارها به طور مداوم برای پاسخگویی به نیازهای عوامل مختلف تهدید سازگار می‌شوند.

درباره Positive Technologies

Positive Technologies پیشرو در صنعت امنیت سایبری مبتنی بر نتیجه و ارائه دهنده جهانی راه‌حل‌های امنیت اطلاعات است. مأموریت شرکت، محافظت از مشاغل و کل صنایع در برابر حملات سایبری و آسیب‌های غیرقابل تحمل است. بیش از 4000 سازمان در سراسر جهان از فناوری‌ها و خدمات توسعه یافته توسط شرکت استفاده می‌کنند. Positive Technologies اولین و تنها شرکت امنیت سایبری در روسیه است که به طور عمومی در بورس مسکو با 205 هزار سهامدار در دسترس است.