کرونا و حملات سایبری
/ 20 مارس 20ویروس کرونا فرصتی طلایی برای حملات سایبری!
ویروس کرونا (COVID-19) خبر داغ این روزها در سراسر دنیاست، زندگی میلیونها نفر را در سراسر دنیا تحت تاثیر خود قرار داده است. آمار ابتلا و مرگ و میر ناشی از این ویروس، راهکارهای پیشگیری و یا تشخیص آن، تامین و خرید وسایلی مانند ماسک، ژل ضدعفونی و مواد شوینده به موضوعات داغی تبدیل شدهاند که مردم آنها را به شدت دنبال میکنند.
این وضعیت بحرانی به یک فرصت بزرگ برای مهاجمان سایبری تبدیل شده است.
مهاجمینی که تا قبل از این برای انجام فیشینگ، با استفاده از مهندسی اجتماعی هرزنامههایی را طراحی میکردند به امید اینکه بتواند مخاطبین و گیرندگان این ایمیل ها را قانع کنند تا بر روی لینک مخرب کلیک کنند و یا فایلهای پیوست شده آلوده را باز کنند و حتی دانلود نمایند. حال با شیوع کرونا و همه گیر شدن آن، طراحی هرزنامهها و راه اندازی حملات موفق فیشینگ بسیار آسان تر و در عین حال موفقتر شده است.
در چند ماه اخیر کشورهایی مانند امریکا، روسیه و ژاپن گزارشاتی در خصوص حملات فیشینگ با موضوع کرونا را ارائه دادند، و بنابر گزارشات متعدی از سوی سفوس، فورتینت و کسپرسکی با موجی از حملات سایبری روبرو هستیم که درآنها از موضوع ویروس کرونا سواستفاده کردهاند. در اینجا سعی داریم با تشریح روشهای مهاجمین ضمن اطلاع رسانی و ایجاد آگاهی در خصوص این حملات راهکارهای موثر برای شناسایی و مقابله با آنها را به شما معرفی کنیم.
فیشینگ با موضوع کرونا
موضوع کرونا این روزها به مهاجمان سایبری کمک کرده تا طیف وسیعی از هرزنامهها را ایجاد کنند، هرزنامههایی که میتوانند گیرندگان را به راحتی قانع کنند تا آنها را باز کرده، بر روی لینک مخرب موجود در آن کلیک نمایند و یا فایل آلوده پیوست شده را بگشایند.
هرزنامههایی مانند آخرین بروزرسانیها در ارتباط با COVID-19 که به ظاهر از سمت وزارت بهداشت ارسال شدهاند و یا هرزنامههایی که تاخیر در ارسال محمولهها را به اطلاع صاحبان صنایع میرساند، هرزنامههای خبر از کشف واکسن کرونا، تنها نمونههایی از حملات فیشینگی هستند که در ماههای اول سال 2020 اتفاق افتادهاند.
در این وضعیت ارگانها و شرکتها میتوانند به راحتی هدف حملات Spear-phishing قرار بگیرند. حملاتی که با توجه به نوع فعالیت ارگانها در رابطه با موضوع کرونا تهیه شدهاند.
آموزش کاربران و کارمندان یکی از موثرترین و بهترین راهکار هاست. حالا که متوجه شدید با چنین تهدیداتی روبرو هستید، زمان آن رسیده تا به رایانامههایی که با موضوع ویورس کرونا دریافت میکنید به صورت مشکوکتر و بدبینانهتر نگاه کنید و اول از صحت ارسال کننده آن مطمئن شوید و سپس با نشانی رایانامه، سایت مربوطه و دقت به دامنه آن فایل را بگشایید.
در اینجا برخی دامنهها و فایلهایی که در این حملات استفاده شدهاند را جمع آوری کردیم تا آنها را بخوانید و در ذهن خود ثبت کنید :
نام چند دامنه حملات فیشینگ با موضوع کرونا
corona-armored[.]com corona-crisis[.]com corona-emergency[.]com corona-explained[.]com corona-iran[.]com corona-ratgeber[.]com coronadatabase[.]com coronadeathpool[.]com coronadetect[.]com coronadetection[.]com contra-coronavirus[.]com
|
acccorona[.]com
alphacoronavirusvaccine[.]com anticoronaproducts[.]com beatingcorona[.]com beatingcoronavirus[.]com bestcorona[.]com betacoronavirusvaccine[.]com buycoronavirusfacemasks[.]com byebyecoronavirus[.]com cdc-coronavirus[.]com combatcorona[.]com |
شرح چند بدافزار
محققان امنیتی اظهار کردهاند در چهار ماه اخیر، بدافزاهای چند منظورهای که در این حملات سایبری استفاده شدهاست یکسان هستند.
بدافزارهای Emotet، XMRig و Trickbot که در مجموع ۳۰% سازمانها در دنیا را با سوار شدن بر موج کرونا مورد حمله قرار دادند. حملات این بدافزارها شدیدا مخرب است و با اهدافی مانند سرقت اطلاعات از پایگاه داده و یا به وجود آوردن اختلال در عملکرد ارگانها و شرکتها راهاندازی شده است. تاکید میکنیم، کارکنان سازمانها باید آموزش ببینند تا از بارگذاری، باز کردن فایلها و یا کلیک بر روی لینکهایی که از خارج از سازمان آمدهاند تا زمانی که صحت این فایلها برایشان محرز نشده است، خودداری نمایند.
Emotet: که تا قبل از این به عنوان یک تروجان بانکی مورد استفاده قرار میگرفت، در حال حاضر در این کمپینهای کرونایی به عنوان توزیع کننده سایر بدافزارها به کار گرفته میشود. این بدافزار پیشرفته و ماژولار که قابلیت خود-انتشاری نیز دارد از طریق هرزنامههایی که بر روی موج کرونا سوار شدهاند هم در طول این چهار ماه به سمت قربانیان ارسال شدهاند.
XMRig: بدافزاری است که برای اولین بار در ماه می ۲۰۱۷ شناسایی شده است و یک نرم افزار opensource است که برای یافتن بیت کوین مونرو مورد استفاده قرار میگیرد.
Trickbot: یک تروجان بانکی میباشد که دائما با ویژگیهای جدید بروزرسانی میشود. این بدافزار همانطور که گفتیم قابلیت منعطف و قابل تنظیمی دارد و با همین ویژگی رنگ عوض کردن قادر است در کمپینهای چند منظور مورد استفاده قرار بگیرد. بدافزاری که برای شناساییاش نیازمند راهکارهای مبتنی بر الگوریتمهای هوش مصنوعی هستیم.
Agent Tesla: یک RAT پیشرفته است که به عنوان Keylogger عمل میکند. ورودیهای کیبورد قربانی را پویش کرده و سپس جمع آوری مینماید. از صفحه نمایشگر قربانی اسکرین شات گرفته و نام کاربری و گذرواژههای مربوط به نرم افزارهای مختلف قربانی از جمله Google Chrom، Mozilla Firefox و Microsoft Outlook را سرقت میکنند.
Formbook: که یک سارق اطلاعات است و نام کاربری و گذرواژهها را از مرورگرهای گوناگون جمع آوری میکند. این بدافزار اسکرین شات گرفته و میتواند از سرور خود فایل دانلود را انجام داده و اجرا کند.
Ramnit: یک تروجان بانکی است که اطلاعات شخصی، کوکی جلسات، گذرواژههای FTP و نام کاربری و گذرواژههای بانکی را سرقت مینماید.
Vidar: سیستم عاملهای ویندوز را مورد حمله قرار میدهد و برای سرقت گذرواژهها، اطلاعات کارتهای اعتباری و مابقی اطلاعات حساس مربوط به کیف پولهای دیجیتال و مرورگرهای وب مورد استفاده قرار میگیرد. این بدافزار به عنوان dropper بدافزارهایی مانند GandCrab نیز مورد استفاده قرار میگیرد.
Lokibot: که بیشتر توسط حملات فیشینگ توزیع میشود با هدف سرقت نام کاربری و گذرواژه رایانامهها، کیف پولهای CryptoCoin و سرورهای FTP طراحی شدهاند.
Hawkey: این بدافزار توانایی سرقت گذرواژههای رایانامهها و مرورها وب را دارد و امروزه به عنوان بدافزار به عنوان سرویس به فروش میرسد.
xHElper: یک برنامه کاربردی مخرب است وبرای بارگذاری سایر برنامههای کاربردی مخرب و همچنین تبلیغات استفاده میگردد. این بدافزار چنین قابلیتی داردکه خود را از دید سایر بدافزارها مخفی نگه دارد و اگر توسط کاربر نصبش لغو شد مجددا خود را نصب نماید.
نتیجهگیری و راهکار
کرونا و حملات فیشینگ از موضوعات داغ در آغاز سال 2020 میلادی به شمار میرود.
شیوع کرونا در دنیا برای مردم دنیا به بدترین رنج و برای مهاجمین سایبری به فرصتی بسیار مناسب تبدیل شده است.
حملات فیشینگی که با سواستفاده از چالش کرونا موفق عمل کردهاند و انتشار بدافزارهایی که بر روی موج کرونا در حرکت هستند .در این بین موضوع دورکاری توسط بسیاری از سازمانها نیز بدون داشتن یک زیر ساخت امنیتی مناسب اجرا شده است که خود سطح آسیب پذیری کاربران و سازمانها را بالا میبرد.
در ارتباط با راهکارهای موثر در برابر این موج جدید حملات سایبری، اولین و موثرترین راهکار، آموزش کاربران است تا حساسیت و دقت بالایی را در مقابل رایانامهها، لینکها و اسنادی که در ارتباط با موضوع کرونا دریافت میکنند داشته باشند و همواره از صحت فرستنده اطمینان حاصل نمایند.
استفاده از راهکارهای ضدهرزنامه نیز موضوعی است که باید جدی گرفته شود. همچنین اگر شرکتی هستید که در این دوره زمانی به سمت دورکاری رفتهاید حتما یک طرح جامع امنیتی را با مشاوره و همراهی افراد و یا سازمانهایی در حوزه امنیت دادهها و امنیت شبکه، پیاده سازی نمایید.