کلاهبرداران از کارگزارهای CDN فیسبوک برای دور زدن راهکارهای امنیتی سوءاستفاده میکنند.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
کلاهبرداران از کارگزارهای CDN فیسبوک برای دور زدن راهکارهای امنیتی سوءاستفاده میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کلاهبرداران با استفاده از کارگزارهای شبکه تحویل محتوای (CDN) فیسبوک برای ذخیره و ارائه بدافزار و جلوگیری از ردیابی استفاده کرده و از اعتماد این شبکه اجتماعی به شبکه CDN سوءاستفاده میکنند.
محققان گروه MalwareHunter به تازگی چندین پویش را کشف کردند که به کارگزارهای شبکه تحویل محتوای فیسبوک نفوذ کردهاند. در گذشته گروههای نفوذ مشابه از دراپباکس و خدمات ذخیره ابری گوگل برای ذخیره بارکاری مشابه استفاده میکردند.
در ماه جولای محققان درباره پویشی که با استفاده از هرزنامه بدافزار ارسال میکرد و برزیل را هدف گرفتهبود، یک گزارش دقیق منتشر کردند. در این پویش کلاهبرداران از خدمات قانونی مثل گوگل و دراپباکس برای تحویل بدافزار استفادهمیکردند.
استفاده از شبکه تحویل محتوای فیسبوک اجازه میدهد تا مجرمان سایبری راهکارهای امنیتی را دور بزنند، زیرا این دامنه توسط آنها مورد اعتماد است و ترافیک آنها مسدود نمیشود. مجرمان سایبری از ارسال ایمیلهای دروغین استفاده میکنند که مدعیاند از طرف مقامات محلی ارسال شدهاند، . این پیامها شامل یک پیوند است که به سمت کارگزار شبکه تحویل محتوای فیسبوک هدایت میشوند. این پیوند URL به پوشههایی که در گروههای فیسبوک یا دیگر بخشهای عمومی توسط گروه مهاجمان بارگذاری شده، مربوط میشود.
هنگامیکه قربانی روی پیوندی کلیک کند، یک پوشه فشردهشده که شامل یک پوشه پیوند است، بارگیری خواهدکرد. این میانبر یک برنامه مجاز نصبشده روی اکثر ویندوزها مثل اعلان دستور یا پاورشل را نیاز دارد تا یک اسکریپت پاورشل کدشده را اجرا کند. کارشناسان میگویند APT32 از این روش که با عنوان Squibledoo شناختهمیشود زمانیکه منافع ویتنام را در سراسر جهان مورد هدف قرار دادند، استفاده کرده است.
اسکریپت پاورشل کدشده، اسکریپت پاورشل دیگری را بارگیری و اجرا میکند که تعداد زیادی عملیات را اجرا میکند. کاتالین کیمپانو از BleepingComputer نوشت: «دومین اسکریپت پاورشل یک پوشه DLL را بارگیری میکند که به نوبه خود یک پوشه EXE قانونی و یک DLL دوم را بارگیری میکند. پیچیدگی عملیات با ایجاد یک پوشه پیوند (میانبر) که به یک اسکریپت VBS اشاره می کند، ادامه مییابد. اسکریپت پاورشل سپس پرونده میانبر را فراخوانی میکند که آن هم اسکریپ VBS را فراخوانی میکند که آن هم به نوبه خود پرونده EXE قانونی را اجرا میکند که پوشه DLL را بارگذاری میکند.»
کلاهبرداران فقط کاربران برزیلی را هدف قرار میدهند، زمانی که قربانی از یک کشور دیگر باشد با بارگیری یک پوشه DLL خالی در آخرین مرحله، این رشته حملات قطع میشود. این پویش، ارائهکننده بدافزار Banload است که برای خدمت به تروجان بانکی Win۳۲ / Spy.Banker.ADYV استفادهمیشود که فقط کاربران برزیلی را هدف قرار میدهد.
کارشناسان معتقدند که افراد پشت این پویش، همان افراد پویش Banload هستند که برزیل را در سال ۲۰۱۶ میلادی هدف گرفتند و تروجان بانکی Escelar را در سال ۲۰۱۵ میلادی گسترش دادند. کارشناسان MalwareHunter بر این باورند که گروه مخرب بسیار خبره هستند و به منابع خوبی دسترسی دارند.