کرونا و حملات سایبری

/ 20 مارس 20

ویروس کرونا فرصتی طلایی برای حملات سایبری!

corona virous

 

ویروس کرونا (COVID-19) خبر داغ این روزها در سراسر دنیاست، زندگی میلیون‌ها نفر را در سراسر دنیا تحت تاثیر خود قرار داده است. آمار ابتلا و مرگ و میر ناشی از این ویروس، راهکارهای پیشگیری و یا تشخیص آن، تامین و خرید وسایلی مانند ماسک، ژل ضدعفونی و مواد شوینده به موضوعات داغی تبدیل شده‌اند که مردم آن‌ها را به شدت دنبال می‌کنند.

این وضعیت بحرانی به یک فرصت بزرگ برای مهاجمان سایبری تبدیل شده است.

مهاجمینی که تا قبل از این برای انجام فیشینگ، با استفاده از مهندسی اجتماعی هرزنامه‌هایی را طراحی می‌کردند به امید اینکه بتواند مخاطبین و گیرندگان این ایمیل ها را قانع کنند تا بر روی لینک مخرب کلیک کنند و یا فایل‌های پیوست شده آلوده را باز کنند و حتی دانلود نمایند. حال با شیوع کرونا و همه گیر شدن آن، طراحی هرزنامه‌ها و راه اندازی حملات موفق فیشینگ بسیار آسان تر و در عین حال موفق‌تر شده است.

در چند ماه اخیر کشورهایی مانند امریکا، روسیه و ژاپن گزارشاتی در خصوص حملات فیشینگ با موضوع کرونا را ارائه دادند، و بنابر گزارشات متعدی از سوی سفوس، فورتی‌نت و کسپرسکی با موجی از حملات سایبری روبرو هستیم که درآن‌ها از موضوع ویروس کرونا سواستفاده کرده‌اند. در این‌جا سعی داریم با تشریح روش‌های مهاجمین ضمن اطلاع رسانی و ایجاد آگاهی در خصوص این حملات راهکارهای موثر برای شناسایی و مقابله با آن‌ها را به شما معرفی کنیم.

فیشینگ با موضوع کرونا

موضوع کرونا این روزها به مهاجمان سایبری کمک کرده تا طیف وسیعی از هرزنامه‌ها را ایجاد کنند، هرزنامه‌هایی که می‌توانند گیرندگان را به راحتی قانع کنند تا آن‌ها را باز کرده، بر روی لینک مخرب موجود در آن کلیک نمایند و یا فایل آلوده پیوست شده را بگشایند.

هرزنامه‌هایی مانند آخرین بروزرسانی‌ها در ارتباط با COVID-19 که به ظاهر از سمت وزارت بهداشت ارسال شده‌‌اند و یا هرزنامه‌هایی که تاخیر در ارسال محموله‌ها را به اطلاع صاحبان صنایع می‌رساند، هرزنامه‎‌های خبر از کشف واکسن کرونا، تنها نمونه‌هایی از حملات فیشینگی هستند که در ماه‌های اول سال 2020 اتفاق افتاده‌اند.

 در این وضعیت ارگان‌ها و شرکت‌ها می‌توانند به راحتی هدف حملات Spear-phishing قرار بگیرند. حملاتی که با توجه به نوع فعالیت ارگان‌ها در رابطه با موضوع کرونا تهیه شده‌اند.

آموزش کاربران و کارمندان یکی از موثرترین و بهترین راهکار هاست. حالا که متوجه شدید با چنین تهدیداتی روبرو هستید، زمان آن رسیده تا به رایانامه‌هایی که با موضوع ویورس کرونا دریافت می‌کنید به صورت مشکوک‌تر و بدبینانه‌تر نگاه کنید و اول از صحت ارسال کننده آن مطمئن شوید و سپس با نشانی رایانامه، سایت مربوطه و دقت به دامنه آن فایل را بگشایید.

در اینجا برخی دامنه‌ها و فایل‌هایی که در این حملات استفاده شده‌اند را جمع آوری کردیم تا آن‌ها را بخوانید و در ذهن خود ثبت کنید :‌

نام چند دامنه حملات فیشینگ با موضوع کرونا

 

corona-armored[.]com

corona-crisis[.]com

corona-emergency[.]com

corona-explained[.]com

corona-iran[.]com

corona-ratgeber[.]com

coronadatabase[.]com

coronadeathpool[.]com

coronadetect[.]com

coronadetection[.]com

contra-coronavirus[.]com

 

acccorona[.]com

alphacoronavirusvaccine[.]com

anticoronaproducts[.]com

beatingcorona[.]com

beatingcoronavirus[.]com

bestcorona[.]com

betacoronavirusvaccine[.]com

buycoronavirusfacemasks[.]com

byebyecoronavirus[.]com

cdc-coronavirus[.]com

combatcorona[.]com

شرح چند بدافزار

محققان امنیتی اظهار کرده‌اند در چهار ماه اخیر، بدافزاهای چند منظوره‌ای که در این حملات سایبری استفاده شده‌است یکسان هستند.

بدافزارهای Emotet، XMRig  و Trickbot که در مجموع ۳۰% سازمان‌ها در دنیا را با سوار شدن بر موج کرونا مورد حمله قرار دادند. حملات این بدافزارها شدیدا مخرب است و با اهدافی مانند سرقت اطلاعات از پایگاه داده  و یا به وجود آوردن اختلال در عملکرد ارگان‌ها و شرکت‌ها راه‌اندازی شده است. تاکید می‌کنیم، کارکنان سازمان‌ها باید آموزش ببینند تا از بارگذاری، باز کردن فایل‌ها و یا کلیک بر روی لینک‌هایی که از خارج از سازمان آمده‌اند تا زمانی که صحت این فایل‌ها برایشان محرز نشده است، خودداری نمایند.

Emotet: که تا قبل از این به عنوان یک تروجان بانکی مورد استفاده قرار می‌گرفت، در حال حاضر در این کمپین‌های کرونایی به عنوان توزیع کننده سایر بدافزارها به کار گرفته می‌شود. این بدافزار پیشرفته و ماژولار که قابلیت خود-انتشاری نیز دارد از طریق هرزنامه‌هایی که بر روی موج کرونا سوار شده‌اند هم در طول این چهار ماه به سمت قربانیان ارسال شده‌اند.

XMRig: بدافزاری است که برای اولین بار در ماه می ۲۰۱۷ شناسایی شده است و یک نرم افزار opensource است که برای یافتن بیت کوین مونرو مورد استفاده قرار می‌گیرد.

Trickbot: یک تروجان بانکی می‌باشد که دائما با ویژگی‌های جدید بروزرسانی می‌شود. این بدافزار همان‌طور که گفتیم قابلیت منعطف و قابل تنظیمی دارد و با همین ویژگی‌ رنگ عوض کردن قادر است در کمپین‌های چند منظور مورد استفاده قرار بگیرد. بدافزاری که برای شناسایی‌اش نیازمند راهکارهای مبتنی بر الگوریتم‌های هوش مصنوعی هستیم.

Agent Tesla: یک RAT پیشرفته است که به عنوان Keylogger عمل می‌کند. ورودی‌های کیبورد قربانی را پویش کرده و سپس جمع آوری می‌نماید. از صفحه نمایشگر قربانی اسکرین شات گرفته و نام کاربری و گذرواژه‌های مربوط به نرم افزارهای مختلف قربانی از جمله Google Chrom، Mozilla Firefox  و Microsoft Outlook را سرقت می‌کنند.

Formbook: که یک سارق اطلاعات است و نام کاربری و گذرواژه‌ها را از مرورگرهای گوناگون جمع آوری می‌کند. این بدافزار اسکرین شات گرفته و می‌تواند از سرور خود فایل دانلود را انجام داده و اجرا کند.

Ramnit:  یک تروجان بانکی است که اطلاعات شخصی، کوکی جلسات، گذرواژه‌های FTP و نام کاربری و گذرواژه‌های بانکی را سرقت می‌نماید.

Vidar:  سیستم عامل‌های ویندوز را مورد حمله قرار می‌دهد و برای سرقت گذرواژه‌ها، اطلاعات کارت‌های اعتباری و مابقی اطلاعات حساس مربوط به کیف پول‌های دیجیتال و مرورگرهای وب مورد استفاده قرار می‌گیرد. این بدافزار به عنوان dropper بدافزارهایی مانند GandCrab  نیز مورد استفاده قرار می‌گیرد.

Lokibot:  که بیشتر توسط حملات فیشینگ توزیع می‌شود با هدف سرقت نام کاربری و گذرواژه رایانامه‌ها، کیف پول‌های CryptoCoin و سرورهای FTP طراحی شده‌اند.

Hawkey:  این بدافزار توانایی سرقت گذرواژه‌های رایانامه‌ها و مرورها وب را دارد و امروزه به عنوان بدافزار به عنوان سرویس به فروش می‌رسد.

xHElper:  یک برنامه کاربردی مخرب است وبرای بارگذاری سایر برنامه‌های کاربردی مخرب و هم‌چنین تبلیغات استفاده می‌گردد. این بدافزار چنین قابلیتی داردکه خود را از دید سایر بدافزارها مخفی نگه دارد و اگر توسط کاربر نصبش لغو شد مجددا خود را نصب نماید.

نتیجه‌گیری و راهکار

کرونا و حملات فیشینگ از موضوعات داغ در آغاز سال 2020 میلادی به شمار می‌رود.

 شیوع کرونا در دنیا برای مردم دنیا به بدترین رنج و برای مهاجمین سایبری به فرصتی بسیار مناسب تبدیل شده است.

حملات فیشینگی که با سواستفاده از چالش کرونا موفق عمل کرده‌اند و انتشار بدافزارهایی که بر روی موج کرونا در حرکت هستند .در این بین موضوع دورکاری توسط بسیاری از سازمان‌ها نیز بدون داشتن یک زیر ساخت امنیتی مناسب اجرا شده است که خود سطح آسیب پذیری کاربران و سازمان‌ها را بالا می‌برد.

در ارتباط با راهکارهای موثر در برابر این موج جدید حملات سایبری، اولین و موثرترین راهکار، آموزش کاربران است تا حساسیت و دقت بالایی را در مقابل رایانامه‌ها، لینک‌ها و اسنادی که در ارتباط با موضوع کرونا دریافت می‌کنند داشته باشند و همواره از صحت فرستنده اطمینان حاصل نمایند.

استفاده از راهکارهای ضدهرزنامه نیز موضوعی است که باید جدی گرفته شود. هم‌چنین اگر شرکتی هستید که در این دوره زمانی به سمت دورکاری رفته‌اید حتما یک طرح جامع امنیتی را با مشاوره و همراهی افراد و یا سازمان‌هایی در حوزه امنیت داده‌ها و امنیت شبکه، پیاده سازی نمایید.