مطالب پربازدید

1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

1404/02/21 - 07:21- تروریسم سایبری

پیشنهاد رئیس سابق اداره ملی سایبری رژیم صهیونیستی درمورد ایران

رئیس سابق اداره سایبری ملی رژیم صهیونیستی گفت که این رژیم باید یک پیمان دفاع سایبری علیه ایران تشکیل دهد.

1404/02/30 - 11:28- هوش مصنوعي

یادداشتی بر فیلم سینمایی فرودستی(Subservience)

کامیار عزیزی

انتشار شده در تاریخ 1402/05/10 - 09:44

اجاره ویکی لودر برای حمله به سازمان های ایتالیایی توسط مجرمان سایبری

سازمان‌های ایتالیایی هدف یک کمپین فیشینگ جدید شده اند که از نوع جدیدی از بدافزار به نام ویکی لودر (WikiLoader) با هدف نهایی نصب یک تروجان بانکی، دزد و جاسوس‌افزار به نام اورسنیف (Ursnif) (معروف به گوزی (Gozi)) استفاده می‌کند.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، وبسایت پروف پوینت (Proofpoint) در یک گزارش فنی می گوید:

این یک دانلود کننده پیچیده با هدف نصب بسته بدافزار دوم است. این بدافزار از مکانیسم‌های متعددی برای فرار از شناسایی استفاده می‌کند و احتمالاً به‌عنوان بدافزاری ساخته شده است که می‌توان آن را به عوامل تهدید و مجرمان سایبری اجاره داد.

ویکی لودر به دلیل درخواست بدافزار از ویکی‌پدیا و بررسی وجود رشته فری (The Free) در پاسخ به این نام، نامگذاری شده است.

این شرکت امنیتی سازمانی اعلام کرده است که برای اولین بار در 27 دسامبر 2022 این بدافزار را در شبکه و در ارتباط با مجموعه نفوذی که توسط یک عامل تهدید به نام تی ای 544 (TA544) ردیابی شده بود، شناسایی کرده که با نام های بامبو اسپایدر (Bamboo Spider) و زئوس پاندا (Zeus Panda) نیز شناخته می شود.

این کمپین‌ها حول استفاده از ایمیل‌های حاوی مایکروسافت اکسل، مایکروسافت وان نوت یا پیوست‌های پی‌دی‌اف متمرکز شده‌اند که به عنوان عامل فریبنده برای استقرار دانلودر عمل می‌کنند، که متعاقباً برای نصب اورسنیف استفاده می‌شود.

به نشانه اشتراک ویکی لودر در میان چندین گروه جرایم سایبری، عامل تهدید موسوم به تی ای 551 (TA551) (معروف به شتهک (Shathak)) نیز از اواخر مارس 2023 در حال استفاده از این بدافزار مشاهده شده است.

کمپین‌های اخیر تی ای 544 که در اواسط ژوئیه 2023 شناسایی شده اند، از زمینه های حسابداری برای انتشار پیوست‌های پی‌دی‌اف با نشانی‌های اینترنتی استفاده کرده‌اند که با کلیک کردن، منجر به تحویل یک فایل آرشیو زیپ شده (ZIP) می‌شود، که به نوبه خود، یک فایل جاوا اسکریپت را بسته‌بندی می‌کند که برای دانلود و اجرای ویکی لودر طراحی شده است.

ویکی لودر به شدت مبهم است و دارای مانورهای فرار برای دور زدن نرم افزار امنیتی نقطه پایانی و جلوگیری از انفجار در محیط های تحلیل خودکار است.

همچنین برای بازیابی و اجرای یک محموله کد پوسته میزبانی شده در دیسکورد (Discord)، که در نهایت برای راه اندازی اورسنیف استفاده می شود، مهندسی شده است.

سلنا لارسون، تحلیلگر ارشد اطلاعات تهدیدات در پروف پوینت در بیانیه‌ای می گوید:

در حال حاضر این موشک در حال توسعه فعال است و به نظر می‌رسد نویسندگان آن تغییرات منظمی ایجاد می‌کنند تا سعی کنند شناسایی نشده باقی بمانند و زیر رادار پرواز کنند.

به احتمال زیاد عوامل تهدید جنایی بیشتری از ویکی لودر استفاده خواهند کرد، به ویژه آنهایی که به عنوان کارگزاران دسترسی اولیه (IABs) شناخته می شوند که فعالیت های منظمی را انجام می دهند که منجر به حمله باج افزاری خواهد شد.

مدافعان باید از این بدافزار جدید و فعالیت های مرتبط با تحویل محموله آگاه باشند و اقدامات لازم را انجام دهند و از سازمان های خود در برابر استثمار محافظت کنند.