محققان امنیت سایبری روشی جدید به نام GIFShell را کشف کردند که هکرها برای سرقت اطلاعات از رایانههای قربانیان استفاده میکنند.
محققان امنیت سایبری روشی جدید به نام GIFShell را کشف کردند که هکرها برای سرقت اطلاعات از رایانههای قربانیان استفاده میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بابی راک، متخصص و مشاور امنیت سایبری اخیراً کشف کرده است که هکرها با اجرای حملات فیشینگ با استفاده از تکنیک حمله جدید به نام GIFShell از Microsoft Teams با استفاده از GIF برای اجرای دستورات مخفی به منظور سرقت دادهها سوء استفاده میکنند.
با استفاده از این روش جدید، مهاجمان میتوانند حملات پیچیدهای را اجرایی کنند که از نقاط ضعف مختلف در Microsoft Teams سوء استفاده میکند. عاملان تهدید این کار را برای سوء استفاده از زیرساخت قانونی مایکروسافت برای ارائه و اجرای موارد زیر انجام میدهند:
• فایلهای مخرب • دستورات غیر قانونی • استخراج دادهها از طریق فایلهای GIF
دادهها از طریق سرورهایی که توسط خود مایکروسافت کنترل میشوند، استخراج میشوند. در حالی که دلیل اصلی این امر این است که اطمینان حاصل شود که نرمافزار امنیتی احتمال کمتری دارد که بتواند این ترافیک را شناسایی کند.
به دلیل نگرانیهای امنیتی، هیچ کاربر خارجی به طور پیشفرض مجاز به اشتراکگذاری فایل با کاربران ساکن دیگر نیست. هدف از این ویژگی جلوگیری از ارسال پیوستهای مخرب توسط کاربران خارجی از طریق Microsoft Teams به یک کاربر در سازمان دیگر است.
در حالی که وقتی یک کاربر در یک سازمان سعی میکند هر فایلی را برای کاربری در سازمان دیگر ارسال کند، هیچ گزینه پیوستی برای آپلود وجود نخواهد داشت.
این حمله بر اساس کامپوننتی به نام GIFShell است که یکی از مهمترین قسمتهاست. در نتیجه، یک پوسته معکوس میتواند توسط مهاجم ایجاد شود تا با استفاده از فایلهای GIF کدگذاری شده base۶۴ دستورات مخرب را در داخل Microsoft Teams ارائه کند.
برای اینکه GIFShell کار کند، یک فایل اجرایی مخرب به نام «stager» با فریب دادن کاربران به بارگذاری دستگاه، سیستم قربانی را تحت کنترل درمیآورد. گزارشهای Microsoft Teams که در مکانهای زیر قرار دارند به طور مداوم توسط این فایل اجرایی اسکن میشوند:
پس از نصب فایل استیجر، یک عامل مخرب در Microsoft Teams ایجاد میشود تا حمله را انجام دهد. پس از آن، آنها با کاربران خارج از سازمان خود که از Microsoft Teams استفاده میکنند، تماس میگیرند.
Microsoft Teams به طور پیشفرض امکان ارتباط خارجی را فراهم میکند، بنابراین مهاجمان میتوانند به راحتی از این ویژگی برای دسترسی به تیم شما استفاده کنند.
استیجر میتواند دستورات کدگذاریشده base۶۴ را از یک پیام با GIF استخراج کند و زمانی که چنین پیامی را شناسایی کرد، آنها را روی دستگاهی اجرا کند. پس از آن، خروجی دستور اجرا شده توسط GIFShell PoC به متن base۶۴ تبدیل میشود.
پیامد این حمله این است که ترافیک شبکه Microsoft Teams قانونی با خروجی حمله GIFShell ترکیب میشود که به آن اجازه میدهد به طور مخفیانه دادهها را استخراج کند.
مایکروسافت در پاسخ به این تحقیق، آن را پذیرفت، اما تاکید کرد که هیچ مرز امنیتی نقض نشده است، بنابراین رفع نخواهد شد.