موارد مهم
- مهاجمان پشت یک بدافزار سرقت رمز عبور از روشهای نوآورانه برای وادار کردن مردم به باز کردن ایمیلهای مخرب استفاده میکنند.
- مهاجمان از صندوق ورودی هک شده مخاطب استفاده می کنند تا پیوست های مملو از بدافزار را در مکالمات ایمیلی جاری وارد کنند.
-
محققان امنیتی پیشنهاد می کنند که این حمله بر این واقعیت تأکید دارد که افراد نباید کورکورانه پیوست ها را باز کنند، حتی آنهایی که از مخاطبین شناخته شده هستند.
ممکن است عجیب به نظر برسد وقتی دوست شما با پیوستی که نیمی از آن را انتظارش را داشتید وارد یک مکالمه ایمیلی شود، اما شک در مشروعیت پیام می تواند شما را از بدافزار خطرناک نجات دهد.
کارآگاهان امنیتی در Zscaler جزئیاتی را در مورد عوامل تهدید با استفاده از روشهای جدید به اشتراک گذاشتهاند تا از شناسایی و انتشار یک بدافزار قدرتمند سرقت رمز عبور به نام Qakbot استفاده کنند. محققان امنیت سایبری از این حمله نگران هستند اما از اصلاح تکنیکهای مهاجمان غافلگیر نمیشوند.
"جک چپمن، معاون اطلاعات تهدیدات در Egress، از طریق ایمیل به Lifewire گفت: "جنایتکاران سایبری به طور مداوم حملات خود را به روز می کنند تا از شناسایی و در نهایت دستیابی به اهداف خود جلوگیری کنند." "بنابراین حتی اگر به طور مشخص ندانیم که آنها در مرحله بعدی چه کاری را امتحان خواهند کرد، می دانیم که همیشه دفعه بعدی وجود خواهد داشت و حملات دائما در حال تغییر هستند."
هکر محله دوستانه
در پست خود، Zscaler از تکنیک های مبهم کننده مختلفی استفاده می کند که مهاجمان برای وادار کردن قربانیان به باز کردن ایمیل خود استفاده می کنند.
این شامل استفاده از نامهای فریبنده فایل با قالبهای رایج، مانند. ZIP، برای فریب قربانیان برای دانلود پیوستهای مخرب است.
چاپمن به اشتراک گذاشت بدافزار مخفی برای چندین سال یک تاکتیک محبوب بوده است و گفت که آنها حملاتی را دیده اند که در انواع مختلف فایل های مختلف از جمله PDF و هر نوع سند مایکروسافت آفیس پنهان شده اند.
چپمن گفت: "حملات سایبری پیچیده طوری طراحی شده اند که بهترین شانس ممکن برای دستیابی به اهداف خود را داشته باشند."
جالب توجه است، Zscaler اشاره می کند که پیوست های مخرب به عنوان پاسخ در رشته های ایمیل فعال درج می شوند. باز هم چاپمن از مهندسی اجتماعی پیچیده ای که در این حملات بازی می کند شگفت زده نمی شود. چپمن به اشتراک گذاشت: «هنگامی که حمله به هدف رسید، مجرم سایبری به آنها نیاز دارد تا اقدامی انجام دهند - در این مورد، برای باز کردن پیوست ایمیل.»
Keegan Keplinger، سرپرست تحقیق و گزارش در eSentire، که تنها در ماه ژوئن چندین رویداد کمپین Qakbot را شناسایی و مسدود کرد، همچنین به استفاده از صندوقهای دریافتی ایمیل آسیبدیده بهعنوان نقطه برجسته حمله اشاره کرد.
کپلینگر از طریق ایمیل به Lifewire گفت: "رویکرد Qakbot بررسیهای اعتماد انسانی را دور میزند، و کاربران به احتمال زیاد بارگیری را دانلود و اجرا میکنند، فکر میکنند که از یک منبع قابل اعتماد است".
Adrien Gendre، مدیر ارشد فناوری و محصول در Vade Secure، اشاره کرد که این تکنیک در حملات Emotet در سال 2021 نیز مورد استفاده قرار گرفت.
ژاندر به Lifewire گفت: «کاربران معمولاً برای جستجوی آدرسهای ایمیل جعلی آموزش داده میشوند، اما در چنین موردی، بازرسی آدرس فرستنده مفید نخواهد بود، زیرا آدرسی قانونی است، اگرچه در خطر است. بحث ایمیل.
کنجکاوی گربه را کشت
چاپمن می گوید که علاوه بر استفاده از رابطه و اعتماد از قبل موجود بین افراد درگیر، استفاده مهاجمان از انواع فایل ها و پسوندهای رایج باعث می شود گیرندگان کمتر مشکوک شوند و احتمال بیشتری برای باز کردن این پیوست ها وجود داشته باشد.
Paul Baird، مدیر ارشد امنیت فنی بریتانیا در Qualys، خاطرنشان می کند که اگرچه فناوری باید این نوع حملات را مسدود کند، برخی از آنها همیشه از بین می روند.او پیشنهاد می کند که آگاه نگه داشتن مردم از تهدیدات فعلی به زبانی که آنها را می فهمند، تنها راه جلوگیری از گسترش است.
"کاربران باید مراقب باشند و آموزش ببینند که حتی یک آدرس ایمیل قابل اعتماد در صورت به خطر افتادن می تواند مخرب باشد." Gendre موافقت کرد. "این به ویژه زمانی صادق است که یک ایمیل حاوی یک پیوند یا یک پیوست باشد."
Gendre به مردم پیشنهاد می کند که ایمیل های خود را با دقت مطالعه کنند تا اطمینان حاصل کنند که فرستنده همان چیزی است که ادعا می کند. او خاطرنشان می کند که ایمیل های ارسال شده از حساب های در معرض خطر اغلب کوتاه و با درخواست های بسیار صریح هستند که دلیل خوبی برای علامت گذاری ایمیل به عنوان مشکوک است.
با اضافه کردن به این، Baird اشاره می کند که ایمیل های ارسال شده توسط Qakbot معمولاً در مقایسه با مکالماتی که معمولاً با مخاطبین خود دارید متفاوت نوشته می شود، که باید به عنوان یک علامت هشدار دیگر باشد. قبل از تعامل با هر پیوست در یک ایمیل مشکوک، بیرد به شما پیشنهاد می کند با استفاده از یک کانال جداگانه با مخاطب ارتباط برقرار کنید تا صحت پیام را تأیید کنید.
"اگر ایمیلی [با] فایلی [که انتظارش را ندارید] دریافت کردید، به آنها نگاه نکنید" توصیه ساده بیرد است. "عبارت "کنجکاوی گربه را کشت" در مورد هر چیزی که از طریق ایمیل دریافت می کنید صدق می کند."
