به گزارش کارگروه حملات سایبری سایبربان؛ آژانس ملی دیجیتال رژیم صهیونیستی از یک کمپین سایبری بینالمللی گسترده به نام «ShadowCaptcha» رونمایی کرد که از ابزارهای امنیتی آشنا برای انتشار بدافزار سوءاستفاده میکند. این حمله که صدها وبسایت را در سراسر جهان و در سرزمینهای اشغالی تحت تأثیر قرار داده، بر سایتهای مبتنی بر وردپرس تمرکز دارد و آنها را به مراکز آلودهای تبدیل میکند که نرمافزارهای مخربی را منتشر میکنند که قادر به سرقت دادهها، تبدیل رایانههای قربانیان به دستگاههای استخراج بیتکوین یا استقرار باجافزار برای اخاذی پول هستند.
به گفته محققان، عنصر منحصر به فرد ShadowCaptcha استفاده از اعتماد کاربر است؛ کد مخرب تزریق شده به سایتهای آسیبدیده، کاربران را به صفحات جعلی «CAPTCHA» هدایت میکند، چیزی شبیه به تأیید «من ربات نیستم». به جای یک فرآیند احراز هویت ساده، به کاربران دستور داده میشود کارهای به ظاهر بیضرری مانند چسباندن متن در یک فیلد یا اجرای یک دستور را انجام دهند. در واقع، این اقدامات بدافزاری را اجرا میکنند که نرمافزارهای خطرناکی را روی رایانههای آنها نصب میکند.
نیر بار یوسف (Nir Bar Yosef)، رئیس واحد دفاع سایبری دولت رژیم صهیونیستی، در گفتگو با وبگاه «Ynet» عنوان کرد:
«همه مکانیسم CAPTCHA را میشناسند، اما در اینجا نسخه جعلی از کاربران میخواهد اقداماتی را خارج از مرورگر انجام دهند، مانند باز کردن نوار جستجو در رایانه و کپی کردن دستور نمایش داده شده در پنجره مرورگر. آن دستور در واقع بدافزار را نصب میکند. یک CAPTCHA واقعی هرگز به رایانه آسیبی نمیرساند، مادامی که این عمل در مرورگر انجام شود.»
مقیاس بینالمللی این حمله در گزارشهای منابع جهانی منعکس شده است. شرکتهای امنیت سایبری و سازمانهای اجرای قانون، از جمله یوروپل و مقامات ایالات متحده، اخیراً عملیاتهایی را علیه شبکههای جرایم سایبری که از نقاط ورودی مشابه سوءاستفاده میکنند، گزارش کردهاند. در یکی از این عملیاتها، با نام عملیات «Endgame»، سرورها و صدها وبسایت مورد استفاده برای توزیع بدافزار خاموش شدند که نشان دهنده الگوی تکرارشوندهای از استفاده از سایتهای قانونی به عنوان نقاط توزیع بدافزار است.
طیف گستردهای از قابلیتهای مخرب
تاکتیک جعل هویت مکانیسمهای امنیتی آشنا، نشان دهنده رقابت تسلیحاتی فناوری بین مهاجمان و مدافعان است. این بخشی از یک زرادخانه گستردهتر از ترفندها از جمله سیستمهای پرداخت جعلی و فاکتورهای جعلی است که برای پنهان کردن فعالیتهای مخرب طراحی شدهاند.
طبق ادعای آژانس ملی دیجیتال رژیم صهیونیستی، بدافزاری که توسط ShadowCaptcha منتشر میشود، میتواند به مهاجمان قدرتهای مخرب گستردهای، از کنترل کامل از راه دور رایانهها تا سرقت دادههای حساس، استخراج ارزهای دیجیتال و رمزگذاری فایلها برای باجگیری، اعطا کند.
مقامات صهیونیستی ادعا کردهاند که تاکنون هیچ سیستم دولتی اسرائیل تحت تأثیر قرار نگرفته، اما تعداد وبسایتهای آلوده بسیار بیشتر از چند صد وبسایت شناسایی شده است. این آژانس با اداره ملی سایبری رژیم صهیونیستی همکاری میکند تا به وبسایتهای آسیبدیده هشدار دهد و به آنها در دفاع از خود کمک کند. محققان همچنین امضاهای بدافزار را به گوگل و مایکروسافت ارائه دادهاند تا بتوانند مرورگرها، نرمافزار آنتیویروس و سیستمعاملهای خود را بهروزرسانی کنند.
در این مرحله، مشخص نیست چه کسی پشت این حمله است، اما مقامات مدعی شدند که یک گروه جنایتکار با انگیزه سود مالی است، نه یک بازیگر دولتی که اسرائیلیها را هدف قرار میدهد. این بدافزار از طریق زیرساختی که معمولاً با گروههای جرایم سایبری مرتبط است، پخش میشود که ردیابی آن دشوار است.
مقامات اسرائیلی از صاحبان وبسایتها خواستند که افزونهها و نسخههای وردپرس را بهروز نگه دارند و توصیههای امنیت سایبری را رصد کنند. در عین حال، به کاربران هشدار داده شد که بررسیهای CAPTCHA را فقط داخل مرورگر خود انجام دهند و از هرگونه درخواست مشکوک برای اجرای دستورات یا انجام اقدامات خارجی خودداری کنند.
