مطالب پربازدید

1404/05/18 - 08:57- تروریسم سایبری

استفاده از مایکروسافت آژور برای جاسوسی از فلسطینیان

رژیم صهیونیستی از مایکروسافت آژور برای جاسوسی از فلسطینیان، آماده‌سازی حملات هوایی مرگبار و سازماندهی عملیات‌های نظامی در غزه و کرانه باختری استفاده می‌کند.

1404/05/23 - 14:10- هوش مصنوعي

نگاهی به فیلم سینمایی همنشین(Companion)

1404/04/28 - 16:13- هوش مصنوعي

یادداشتی بر فیلم سینمایی وحشت‌زده(AfrAId)

سما سمیعیان

انتشار شده در تاریخ 1404/05/12 - 17:37

سرقت اطلاعات ورود به سیستم مایکروسافت ۳۶۵

کارشناسان معتقدند که مهاجمان از سرویس‌های بسته‌بندی لینک برای سرقت اطلاعات ورود به سیستم مایکروسافت ۳۶۵ سوءاستفاده کردند.

به گزارش کارگروه امنیت سایبربان؛ یک عامل تهدید از سرویس‌های بسته‌بندی لینک شرکت‌های فناوری معتبر برای پنهان کردن لینک‌های مخرب منتهی به صفحات فیشینگ مایکروسافت ۳۶۵ که اطلاعات ورود را جمع‌آوری می‌کنند، سوءاستفاده کرده است.

مهاجم از ویژگی امنیتی URL شرکت امنیت سایبری پروف‌پوینت (Proofpoint) و شرکت ارتباطات ابری «Intermedia» در کمپین‌هایی از ژوئن تا ژوئیه سوءاستفاده کرده است.

برخی سرویس‌های امنیتی ایمیل شامل یک ویژگی بسته‌بندی لینک هستند که URLهای موجود در پیام را به یک دامنه قابل اعتماد بازنویسی می‌کند و آنها را از طریق یک سرور اسکن عبور می‌دهد که برای مسدود کردن مقاصد مخرب طراحی شده است.

مشروعیت بخشیدن به URLهای فیشینگ

تیم امنیت ایمیل کلودفلر (Cloudflare) کشف کرد که مهاجم پس از به خطر انداختن حساب‌های ایمیل محافظت‌شده پروف‌پوینت و Intermedia، URLهای مخرب را مشروع جلوه داده و احتمالاً از دسترسی غیرمجاز خود برای توزیع لینک‌های «پولشویی‌شده» استفاده کرده است.

محققان گفتند:

«مهاجمان از بسته‌بندی لینک پروف‌پوینت به روش‌های مختلفی، از جمله سوءاستفاده از تغییر مسیر چند لایه با کوتاه‌کننده‌های URL از طریق حساب‌های به خطر افتاده، سوءاستفاده کرده‌اند. سوءاستفاده از بسته‌بندی لینک اینترمدیا که ما مشاهده کردیم، همچنین بر دسترسی غیرمجاز به حساب‌های ایمیل محافظت‌شده توسط بسته‌بندی لینک متمرکز بود.»

عامل تهدید با کوتاه کردن لینک مخرب قبل از ارسال آن از یک حساب محافظت‌شده، یک لایه مبهم‌سازی اضافه کرد که به طور خودکار لینک را بسته‌بندی می‌کرد.

کارشناسان معتقدند که مهاجم قربانیان را با اعلان‌های جعلی برای پست صوتی یا اسناد مشترک مایکروسافت تیمز (Microsoft Teams) فریب می‌داد. در انتهای زنجیره تغییر مسیر، یک صفحه فیشینگ «Microsoft Office 365» وجود داشت که اعتبارنامه‌ها را جمع‌آوری می‌کرد.

در کمپینی که از سرویس Intermedia سوءاستفاده می‌کرد، عامل تهدید ایمیل‌هایی را ارسال می‌کرد که وانمود می‌کردند یک اعلان پیام امن «Zix» برای مشاهده یک سند امن هستند، یا ارتباطی را از مایکروسافت تیمز جعل می‌کرد که از یک پیام تازه دریافت شده خبر می‌داد.

لینکی که ظاهراً به سند منتهی می‌شد، یک URL بسته‌بندی شده توسط سرویس Intermedia بود که به یک صفحه جعلی از پلتفرم بازاریابی دیجیتال و ایمیلی «Constant Contact» که میزبان صفحه فیشینگ است، هدایت می‌شد.

کلیک روی دکمه پاسخ در اعلان جعلی تیمز منجر به یک صفحه فیشینگ مایکروسافت می‌شد که اعتبارنامه‌های ورود را جمع‌آوری می‌کرد.

محققان کلودفلر اظهار داشتند که با پنهان کردن مقاصد مخرب با URLهای محافظت از ایمیل قانونی، عامل تهدید شانس حمله موفقیت‌آمیز را افزایش داده است.

لازم به ذکر است که سوءاستفاده از سرویس‌های قانونی برای ارائه بارهای مخرب چیز جدیدی نیست، اما سوءاستفاده از ویژگی امنیتی «link-wrapping» یک پیشرفت اخیر در صحنه فیشینگ است.