دیپسیک در روزهای اخیر با استقبال بسیار خوبی مواجه شده است و توانسته به رتبه نخست اپ استور در ایالات متحده دست پیدا کند.
The post حمله سایبری به DeepSeek؛ ثبتنامها موقتاً متوقف شد appeared first on دیجیاتو.
حمله DDoS گسترده به زیرساختهای ارتباطی ژاپن
شرکت NTT Docomo بزرگترین اپراتور تلفن همراه در ژاپن، مورد حمله سایبری قرار گرفته است که سیستمهای آن را با سیل ترافیک از منابع متعدد هدف قرار داده و خدمات آن را برای حدود ۱۲ ساعت از دسترس خارج کرده است. این حمله منع سرویس توزیع شده (DDoS) در تاریخ ۲ ژانویه به سیستمها وارد شد و کاربران به وبسایت شرکت، پلتفرمهای خبری و سیستمهای پرداخت موبایلی دسترسی نداشتند، اما ارتباطات اصلی و خدمات تلفن همراه تحت تأثیر قرار نگرفتند.
به گزارش سرویس امنیت رسانه اخبار فناوری تکنا، هنوز مشخص نیست چه کسی پشت این حمله بوده است، اما گمانهزنیهایی وجود دارد که ممکن است کار گروهی باجافزار – احتمالا Randomwed.Vc – باشد که در سپتامبر ۲۰۲۳ به NTT حمله کرده بود. این جدیدترین مورد از حملات علیه شرکتهای مخابراتی است که شامل ۹ شرکت بزرگ آمریکایی نیز میشود که هدف گروه چینی تحت حمایت دولت به نام Salt Typhoon قرار گرفتهاند. گفته میشود این گروه اهدافی در سطح بالا را در وزارت خزانهداری ایالات متحده هدف قرار دادهاند.
شرکتهای ژاپنی نیز بارها هدف حملات سایبری قرار گرفتهاند، به طوری که Casio، Japan Airlines و Fujitsu همگی در سال ۲۰۲۴ مورد حمله قرار گرفتند. همچنین بزرگترین بندر ژاپن در ماه جولای مورد حمله باجافزار قرار گرفت و باعث اختلال شدید شد. حملات DDoS در سال ۲۰۲۴، ۳۰ درصد افزایش یافته و انگیزههای سیاسی بیشتری پیدا کرده است. این حملات زیرساختهای حیاتی، خدمات دولتی و تاسیسات رفاهی را در سراسر جهان هدف قرار داده است. این حملات باعث اختلالات گسترده شده است، به طوری که ۷۵ درصد از شبکههای تازه تاسیس درگیر حملات DDoS در ۴۲ روز اول راهاندازی بودهاند. برای دیدن دیگر خبرها به صفحه اخبار امنیت سایبری مراجعه نمایید.
منبع این خبر رسانه فناوری تکنا است. برای دیدن دیگر خبرها به تکنا مراجعه کنید.
منبع خبر حمله DDoS گسترده به زیرساختهای ارتباطی ژاپن پایگاه خبری تکنا به آدرس تکنا میباشد.
7 بازدید کل ، 0 امروز
حمله دابل-کلیکجکینگ؛ سرقت حسابهای کاربری با دو کلیک
فاصله زمانی بین دو کلیک ماوس برای هکرها کافی است تا صفحات وب را جابجا کرده و قربانیان را فریب دهند تا به طور تصادفی مجوز دسترسی یا انتقال وجه را صادر کنند. «دابل-کلیکجکینگ» میتواند برای به دست آوردن مجوزهای OAuth و API برای اکثر وبسایتهای بزرگ، انجام تغییرات حساب کاربری با یک کلیک، مانند غیرفعال کردن تنظیمات امنیتی، حذف یک حساب کاربری، صدور مجوز دسترسی یا انتقال وجه یا تأیید تراکنشها و غیره استفاده شود
به گزارش سرویس سایبری رسانه اخبار فناوری تکنا، پالوس ییبلو محقق امنیتی و شکارچی باگ، نوع جدیدی از حملات به اصطلاح «کلیکجکینگ» را فاش کرده است. این حملات کاربران را فریب میدهند تا روی دکمههای پنهان یا مبدل شدهای که هرگز قصد کلیک کردن روی آنها را نداشتهاند، کلیک کنند. حملات تککلیکی برای مهاجمان کمکاربردتر شدهاند، زیرا مرورگرهای مدرن دیگر کوکیهای بین سایتی ارسال نمیکنند. برای دور زدن این محدودیت، هکرها حملهی کلیکجکینگ را با تغییری جدید بهروز کردهاند: معرفی کلیک دوم.
ییبلو در یک پست وبلاگی اظهار داشت که اگرچه ممکن است این تغییر کوچک به نظر برسد، اما دری را به روی حملات جدید دستکاری رابط کاربری باز میکند که از تمام محافظتهای شناخته شدهی کلیکجکینگ عبور میکند. برای کاربران، سایت فیشینگ به عنوان یک اعلان معمولی «کپچا» ظاهر میشود و از کاربر میخواهد با دوبار کلیک روی یک دکمه، تأیید کند که انسان است. در پسِ آن، هکرها قابلیتی را اضافه میکنند که یک صفحهی حساس، مانند تأییدیهی مجوز OAuth، را در پسزمینه بارگذاری میکند. هنگامی که کاربر دوبار کلیک میکند، اولین کلیک پنجرهی بالایی را میبندد و صفحهی حساس را آشکار میکند. سپس کلیک دوم ماوس روی صفحهی حساس قرار میگیرد و مجوز را تأیید میکند، اجازه دسترسی میدهد یا هر عمل دیگری را کامل میکند.
سرعت کلیک بر این حمله تأثیری ندارد، زیرا هکرها از کنترلکنندههای رویداد mousedown استفاده میکنند. این محقق بیان کرد که سایت مخرب میتواند به سرعت یک پنجرهی حساستر را از همان جلسهی مرورگر (به عنوان مثال، یک درخواست مجوز OAuth) جایگزین کند و به طور مؤثر کلیک دوم را برباید. او اضافه کرد روشهای زیادی برای انجام این جابجایی وجود دارد و مطمئنترین و روانترین روشی که او پیدا کرده استفاده از window.open.location است.
این تکنیک جدید همچنین میتواند برای حمله به افزونههای مرورگر استفاده شود. این محقق همچنین یک کد اثبات مفهوم و نمونههایی را به اشتراک گذاشت که مهاجمان میتوانند از آنها برای به دست گرفتن حسابهای اسلک، شاپیفای و سیلزفورس استفاده کنند.
وبسایتها میتوانند با غیرفعال کردن پیشفرض دکمههای حیاتی، میزان قرار گرفتن در معرض خطر را محدود کنند، مگر اینکه یک حرکت آغاز شده توسط کاربر قبلی، مانند حرکت ماوس یا استفاده از صفحه کلید، قبل از فعال شدن این دکمهها شناسایی شود. راهحلهای بلندمدت نیازمند بهروزرسانی مرورگرها و استانداردهای جدید برای دفاع در برابر سوءاستفاده از دوبار کلیک خواهد بود. ییبلو پیشنهاد میکند که هر صفحهای که تأیید دامنهی OAuth، تأیید پرداخت یا سایر اقدامات با امتیاز بالا را انجام میدهد، باید تا زمانی که مرورگرها راهحلهایی ارائه دهند، اسکریپت دفاعی را شامل شود. برای دیدن دیگر خبرها به صفحه اخبار امنیت سایبری مراجعه نمایید.
منبع این خبر رسانه فناوری تکنا است. برای دیدن دیگر خبرها به تکنا مراجعه کنید.
منبع خبر حمله دابل-کلیکجکینگ؛ سرقت حسابهای کاربری با دو کلیک پایگاه خبری تکنا به آدرس تکنا میباشد.
7 بازدید کل ، 0 امروز
وزارت خزانهداری امریکا مورد حمله سایبری گسترده قرار گرفت
وزارت خزانهداری ایالات متحده تأیید کرده است که در یک حمله سایبری که آن را «حادثه بزرگ» نامیده، اسنادی به سرقت رفته و سیستمها مورد نفوذ قرار گرفتهاند. این نفوذ از طریق یک ارائهدهنده خدمات امنیت سایبری شخص ثالث به نام «بیاندتراست» رخ داده که امکان دسترسی از راه دور به سیستمهای کلیدی را فراهم میکرد. این موضوع نشاندهنده ریسکهای امنیتی ناشی از وابستگی به شرکتهای شخص ثالث در حوزه امنیت سایبری است.
به گزارش سرویس هک و امنیت رسانه اخبار تکنولوژی تکنا به نقل از بی بی سی، این سازمان در یک نامه افشاگری به کنگره تأیید کرد که از طریق این سیستم، هکرها توانستند به دسترسی مورد استفاده فروشنده برای لغو بخشهایی از سیستمهای وزارت خزانهداری دسترسی پیدا کنند. سیستم شخص ثالث که معمولاً پشتیبانی فنی از راه دور را به کارمندان ارائه میدهد، از آن زمان آفلاین شده است. این اقدام سریع نشان از اهمیت واکنش فوری به تهدیدات سایبری و قطع دسترسیهای غیرمجاز دارد.
به گفته مقامات، ارزیابیهای اولیه توسط این سازمان نشان میدهد که این حمله توسط یک عامل تهدید مداوم پیشرفته مستقر در چین انجام شده است. چین این اتهام را بیاساس خوانده و اظهار داشته که به طور مداوم با همه اشکال هک کردن مخالف است. این تبادل اتهامات نشاندهنده تنشهای ژئوپلیتیکی موجود در فضای سایبری است. فعالیت مشکوک برای اولین بار در ۲ دسامبر مشاهده شد و وزارت خزانهداری در ۸ دسامبر از این هک مطلع شد، اگرچه سه روز طول کشید تا این شرکت تشخیص دهد که مورد نفوذ قرار گرفته است. این تأخیر در تشخیص نفوذ، اهمیت پایش مداوم و سیستمهای تشخیص زودهنگام را برجسته میکند.
مشخص نیست که چه نوع فایلهایی برداشته شده یا این فایلها مربوط به چه چیزی هستند، اما انتظار میرود جزئیات بیشتر در گزارش تکمیلی ۳۰ روزه وزارت خزانهداری فاش شود. این حمله پس از یک نفوذ بزرگ مخابراتی رخ میدهد که ۹ شرکت بزرگ مخابراتی ایالات متحده را هدف قرار داد و میلیونها نفر را در معرض خطر قرار داد. این نفوذ مخابراتی که به گروه تحت حمایت دولت چین (سالت تایفون) نسبت داده میشود، منجر به وعده تلافی از سوی رئیس جمهور منتخب ترامپ شد و چین نیز هرگونه تخلف مربوط به این هک را رد کرد. این زنجیره حملات نشان میدهد که زیرساختهای حیاتی و حساس در معرض تهدیدات سایبری مداوم قرار دارند.
سخنگوی سفارت چین در واشنگتن دی سی (لیو پنگیو) اظهار داشت که ایالات متحده باید از استفاده از امنیت سایبری برای لکهدار کردن و افترا زدن به چین دست بردارد و از انتشار انواع اطلاعات نادرست در مورد تهدیدات به اصطلاح هک چینی خودداری کند. این اظهارات نشاندهنده ابعاد سیاسی و دیپلماتیک جنگ سایبری بین کشورهاست.
منبع این خبر رسانه فناوری تکنا است. برای دیدن دیگر خبرها به تکنا مراجعه کنید.
منبع خبر وزارت خزانهداری امریکا مورد حمله سایبری گسترده قرار گرفت پایگاه خبری تکنا به آدرس تکنا میباشد.
2 بازدید کل ، 0 امروز
دنیای هکرها در سال ۲۰۲۴؛ اینها خطرناک ترین حملات سایبری سال گذشته هستند
در سال ۲۰۲۴، حوادث امنیتی زیادی به وقوع پیوست که در این مطلب به خطرناک ترین آنها اشاره خواهیم کرد. بدترین حملات سایبری سالی که گذشت چه بود؟ روزگاری که نه کامپیوتر بود و نه چیزی به نام اینترنت، مردم زندگی میکردند و چیزی به نام هکر و هک کردن وجود نداشت. با ظهور رایانهها ...
The post دنیای هکرها در سال ۲۰۲۴؛ اینها خطرناک ترین حملات سایبری سال گذشته هستند appeared first on گجت نیوز .
بدون بازدید تاکنون
حمله هکری به کروم اطلاعات کاربران را به سرقت برد
هکرها در حمله جدید خود با تزریق کدهای مخرب به افزونههای کروم، اطلاعات کاربران را به سرقت بردهاند.
The post حمله هکری به کروم اطلاعات کاربران را به سرقت برد first appeared on تکفارس: اخبار و بررسی تکنولوژی، کامپیوتر، موبایل و اینترنت.21 بازدید کل ، 0 امروز
امریکا به دنبال تقویت امنیت سایبری در حوزه سلامت
ایالات متحده قوانین جدیدی را برای افزایش امنیت دادههای بهداشتی پیشنهاد میکند. این قوانین پیشنهادی وزارت بهداشت و خدمات انسانی ایالات متحده، شامل مواردی مانند رمزگذاری، احراز هویت چند عاملی و اقدامات دیگر برای حفاظت از دادههای بیماران است.
به گزارش سرویس سلامت رسانه اخبار فناوری تکنا، دفتر حقوق مدنی (OCR) وزارت بهداشت و خدمات انسانی ایالات متحده در راستای حفاظت از دادههای خصوصی بیماران در برابر حملات سایبری، الزامات امنیت سایبری جدیدی را برای سازمانهای بهداشتی پیشنهاد کرده است. این قوانین پیشنهادی پس از حملات سایبری گستردهای مانند حمله سایبری به شرکت یونایتد هلث (UnitedHealth) که منجر به افشای اطلاعات خصوصی بیش از ۱۰۰ میلیون بیمار در اوایل سال جاری شد، ارائه شدهاند. این حملات نشاندهنده آسیبپذیری جدی در سیستمهای حفاظت از دادههای بهداشتی و ضرورت اتخاذ تدابیر جدیتر برای مقابله با این تهدیدات است.
پیشنهاد دفتر حقوق مدنی شامل الزام سازمانهای بهداشتی به استفاده اجباری از احراز هویت چند عاملی در اکثر موارد، تقسیمبندی شبکههای خود برای کاهش خطر گسترش نفوذ از یک سیستم به سیستم دیگر و رمزگذاری دادههای بیماران به گونهای است که حتی در صورت سرقت، امکان دسترسی به آنها وجود نداشته باشد. این اقدامات، سطح امنیتی دادههای حساس بیماران را به طور قابل توجهی افزایش میدهد و از سوء استفادههای احتمالی جلوگیری میکند. همچنین، این پیشنهاد گروههای تحت نظارت را ملزم به انجام اقدامات مشخصی در زمینه تحلیل ریسک و نگهداری مستندات مربوط به انطباق با قوانین میکند. این اقدامات به سازمانها کمک میکند تا به طور مداوم وضعیت امنیتی خود را ارزیابی و بهبود بخشند.
این قانون بخشی از استراتژی امنیت سایبری است که دولت بایدن سال گذشته آن را اعلام کرد. پس از نهایی شدن، این قانون، «قانون امنیت» قانون انتقال و مسئولیتپذیری بیمه سلامت سال ۱۹۹۶ (HIPAA) را که پزشکان، خانههای سالمندان، شرکتهای بیمه سلامت و سایر موارد را تنظیم میکند و آخرین بار در سال ۲۰۱۳ بهروزرسانی شده بود، بهروزرسانی خواهد کرد. این بهروزرسانی، با توجه به پیشرفت تکنولوژی و افزایش تهدیدات سایبری، ضروری به نظر میرسید.
آن نوبرگر معاون مشاور امنیت ملی ایالات متحده، هزینه اجرای این الزامات را «حدود ۹ میلیارد دلار در سال اول و ۶ میلیارد دلار در سالهای دوم تا پنجم» تخمین زده است. این رقم نشاندهنده سرمایهگذاری قابل توجه دولت برای ارتقای امنیت دادههای بهداشتی است. این پیشنهاد قرار است در تاریخ ۶ ژانویه در «ثبت فدرال» منتشر شود که دوره ۶۰ روزه اظهار نظر عمومی قبل از تعیین قانون نهایی را آغاز خواهد کرد. این فرصت به عموم مردم و متخصصان این حوزه داده میشود تا نظرات و پیشنهادات خود را در مورد این قانون ارائه دهند. این امر به بهبود و تکمیل قانون نهایی کمک شایانی خواهد کرد. برای دیدن دیگر خبرها به صفحه اخبار پزشکی فناوری رسانه تکنا مراجعه کنید.
منبع این خبر رسانه فناوری تکنا است. برای دیدن دیگر خبرها به تکنا مراجعه کنید.
منبع خبر امریکا به دنبال تقویت امنیت سایبری در حوزه سلامت پایگاه خبری تکنا به آدرس تکنا میباشد.
4 بازدید کل ، 0 امروز
فاجعه در وردپرس: اطلاعات ۴۰۰ هزار سایت وردپرسی به سرقت رفت
حمله سایبری بزرگی به ۳۹۰ هزار سایت وردپرسی رخ داده که در آن اطلاعات حساس سرقت و نرمافزار استخراج ارز دیجیتال مونرو نصب شده است. محققان هشدار میدهند. یک حمله سایبری گسترده به حدود ۳۹۰,۰۰۰ وبسایت وردپرس رخ داده است که در آن اطلاعات حساس از جمله نامکاربری و رمز عبور دزدیده شده و در ...
The post فاجعه در وردپرس: اطلاعات ۴۰۰ هزار سایت وردپرسی به سرقت رفت appeared first on گجت نیوز .
8 بازدید کل ، 0 امروز
هکرهای LastPass بیش از ۵.۴ میلیون دلار رمزارز را از کیفپول کاربران دزدیدند
این سومین حمله سایبری به کیف پول کاربران LastPass از سال ۲۰۲۲ تاکنون است.
The post هکرهای LastPass بیش از ۵.۴ میلیون دلار رمزارز را از کیفپول کاربران دزدیدند appeared first on دیجیاتو.
3 بازدید کل ، 0 امروز
کریسپی کریم (Krispy Kreme) هدف حمله سایبری قرار گرفت
کریسپی کریم شرکت مشهور تولید دونات، در پی یک حمله سایبری که به سیستمهای سفارش آنلاین این شرکت آسیب وارد کرده، با مشکلاتی مواجه شده است. این حمله که به دلیل یک حفره امنیتی ناشناخته رخ داده، از ۲۹ نوامبر تا کنون باعث از کار افتادن بخشی از سرویسهای آنلاین در ایالات متحده شده است.
به گزارش سرویس امنیت رسانه اخبار فناوری تکنا، کریسپی کریم از «دسترسی غیرمجاز به بخشی از سیستمهای فناوری اطلاعات خود» مطلع شده و برای حل این مشکل، تیمی از کارشناسان امنیت سایبری را به خدمت گرفته است. این حمله علاوه بر اختلال در عملیات سفارش آنلاین، تاثیری بر بخش توزیع تجاری شرکت نداشته است.
با این حال کریسپی کریم اذعان کرده که این حادثه تأثیرات قابل توجهی بر عملیات تجاری و هزینههای آن داشته است. به گفته شرکت، هزینههای ناشی از استخدام مشاوران امنیت سایبری، پیامدهای مالی قابل توجهی به همراه خواهد داشت. اما شرکت تأکید کرده که بیمه سایبری دارد و انتظار نمیرود که «تأثیر ماندگار قابل توجهی بر نتایج عملیاتی و وضعیت مالی آن» بگذارد.
کریسپی کریم از بیان جزئیات علت حمله سایبری خودداری کرده است. طبق گزارشهایی که توسط Bleeping Computer منتشر شده، احتمال دارد این شرکت در حال مذاکره با تهدیدکنندگان برای جلوگیری از نشت دادههای داخلی باشد.
منبع این خبر رسانه فناوری تکنا است. برای دیدن دیگر خبرها به تکنا مراجعه کنید.
منبع خبر کریسپی کریم (Krispy Kreme) هدف حمله سایبری قرار گرفت پایگاه خبری تکنا به آدرس تکنا میباشد.
6 بازدید کل ، 0 امروز
حملات سایبری روسیه علیه اوکراین تشدید شده است
بخش امنیت سایبری مایکروسافت (Microsoft Threat Intelligence) فاش کرد که گروه هکری مخوف روس «بلیزارد مخفی» (Secret Blizzard) با دیگر مجرمان سایبری همکاری کرده است تا جاسوسی از سازمانهای هدف در جنوب آسیا انجام دهد و همچنین چندین بکدور (backdoor) روی دستگاههای اوکراینی نصب کند.
به گزارش سرویس امنیت رسانه اخبار فناوری تکنا، این تیم تأکید کرده است که بلیزارد مخفی از حملات سایبری انجامشده توسط بازیگران تهدید روسیه بهعنوان ابزاری برای نصب بدافزار ربات Amadey و بکدورها روی دستگاههای اوکراینی برای اهداف جاسوسی استفاده میکند.
ارزیابیها نشان میدهد که بلیزارد مخفی برای افزایش توانایی خود در نظارت بر دستگاهها و انجام حملات، نقاط ورود به دستگاههای اوکراینی را از بازیگران تهدید دیگری تحت حمایت دولت روسیه خریداری یا سرقت میکند. نقطه دسترسی اولیه برای بلیزارد مخفی معمولاً از طریق حملات فیشینگ هدفمند انجام میشود و سپس بهصورت جانبی از طریق به خطر انداختن سرورها و دستگاههای لبه (edge device) در شبکههای موردعلاقه نفوذ میکند.
پس از دستیابی به دسترسی اولیه، مشاهده شده است که بلیزارد مخفی از طریق بدافزار سرویسدهنده Amadey (MaaS) یک اسکریپت پاورشل (Powershell dropper) را مستقر میکند که به آنها اجازه میدهد پیکربندی دستگاه را مشاهده کرده و از طریق سرور فرمان و کنترل (C2) اطلاعات جمعآوری کنند.
سپس Amadey نوع آنتیویروس نصبشده روی دستگاه را جمعآوری و ارسال میکند و پیش از نصب دو پلاگین روی دستگاه هدف، که به گفته تیم امنیت سایبری مایکروسافت برای جمعآوری دادههای کلیپبورد و اعتبارنامههای مرورگر استفاده میشود، مستقر میگردد.
بلیزارد مخفی همچنین با اولویت قرار دادن آدرسهای IP استارلینک، دستگاههای استفادهکننده از این سرویس را هدف قرار میدهد و پیش از سرقت دادههایی مانند ساختار دایرکتوری، اطلاعات سیستم، جلسات فعال، جدول مسیریابی IPv4، اشتراکگذاریهای SMB، گروههای امنیتی فعال و تنظیمات زمان، از یک الگوریتم سفارشی استفاده میکند.
بخش امنیت سایبری مایکروسافت همچنین مشاهده کرد که از یک خط فرمان (cmd prompt) برای جمعآوری اطلاعات از Windows Defender استفاده میشود تا مشخص شود نسخههای قبلی بدافزار Amadey روی سیستم شناسایی شدهاند یا خیر، و از این طریق اهمیت دستگاه هدف ارزیابی شود.
بلیزارد مخفی بهطور فعالانه تکنیکهای حمله خود را برای هدف قرار دادن خاص دستگاههای نظامی اوکراین تطبیق میدهد و مایکروسافت ارزیابی میکند که احتمالاً از نفوذ اولیه برای دسترسی استراتژیک در سطح وزارتخانه سوءاستفاده میشود.
منبع این خبر رسانه فناوری تکنا است. برای دیدن دیگر خبرها به تکنا مراجعه کنید.
منبع خبر حملات سایبری روسیه علیه اوکراین تشدید شده است پایگاه خبری تکنا به آدرس تکنا میباشد.
6 بازدید کل ، 0 امروز
بدافزار SmokeLoader از آفیس برای دزدیدن داده ها استفاده میکند
بدافزار SmokeLoader با بهرهبرداری از آسیبپذیریهای MS Office برای سرقت اطلاعات مرورگرها وارد عمل شد. پژوهشگران امنیت سایبری در آزمایشگاه FortiGuard آزمایشگاه Fortinet، یک سری حملات جدید بدافزاری را کشف کردهاند که هدف آنها شرکتها و صنایع تایوانی است.
به گزارش سرویس هک و امنیت رسانه اخبار فناوری تکنا، این حملات که به بدافزار SmokeLoader نسبت داده شدهاند، صنایع مختلفی از جمله تولید، بهداشت و درمان، فناوری اطلاعات و غیره را هدف قرار دادهاند. بدافزار SmokeLoader که بهخاطر توانایی خود در انتقال بارهای مخرب دیگر شناخته میشود، در این کمپین نقش مستقیمتری ایفا کرده و از پلاگینهای خود برای اجرای حملات و سرقت اطلاعات حساس استفاده میکند.
براساس تحقیقات انجامشده توسط FortiGuard Labs، حملات با ایمیلهای فیشینگ آغاز شد که ضمائم مخربی را شامل میشدند. این ضمائم بهمنظور بهرهبرداری از آسیبپذیریهای موجود در مایکروسافت آفیس طراحی شده بودند. این آسیبپذیریها شامل CVE-2017-0199 بودند که اجازه میدهد اسناد مخرب بهطور خودکار بارگیری و اجرا شوند و CVE-2017-11882 که آسیبپذیری موجود در ویرایشگر معادلات مایکروسافت آفیس را برای اجرای کد از راه دور بهرهبرداری میکند.
ایمیلها که به زبان تایوانی نوشته شده بودند، قانعکننده به نظر میرسیدند، اما دارای ناهماهنگیهایی مانند تغییر در فونتها و رنگها بودند که نشان میداد متن از جایی کپی شده است.
پس از باز شدن ضمیمه مخرب، بدافزار SmokeLoader دانلود و اجرا میشود و ارتباط خود را با سرور فرماندهی و کنترل (C2) برقرار میکند. سپس، بدافزار پلاگینهای مختلفی را دانلود میکند که هرکدام برای هدف قرار دادن برنامههای خاص و استخراج اطلاعات حساس طراحی شدهاند.
پلاگینهای استفادهشده توسط SmokeLoader برای هدف قرار دادن مرورگرهای وب محبوب، مشتریان ایمیل و نرمافزارهای پروتکل انتقال فایل (FTP) از جمله Internet Explorer، Firefox، Chrome، Opera، Outlook، Thunderbird و FileZilla طراحی شده بودند. این بدافزار قادر بود تا اعتبارنامههای ورود، دادههای پرشده بهصورت خودکار و حتی آدرسهای ایمیل را از این برنامهها استخراج کند.
یکی از پلاگینها که به نام Plugin 4 شناخته میشود، برای پاککردن کوکیها از مرورگرهای هدف طراحی شده بود، بهطوری که قربانیان مجبور به وارد کردن مجدد اعتبارنامههای خود میشدند. پلاگین دیگر، به نام Plugin 8، برای تزریق کد ثبتفشار کلیدها (keylogging) به داخل explorer.exe استفاده میشد که به بدافزار اجازه میدهد ورودیهای صفحهکلید و محتوای حافظه موقت را ضبط کند.
همچنین مشخص شد که بدافزار SmokeLoader از تکنیکهای پیشرفتهای برای فرار از تشخیص استفاده میکند، از جمله فریبکاری کد، ضد اشکالزدایی و فرار از محیطهای شبیهسازی (sandbox). طراحی مدولار این بدافزار اجازه میدهد تا به سناریوهای مختلف حمله سازگار شود و آن را به تهدیدی قدرتمند برای سازمانها تبدیل کند.
آزمایشگاههای FortiGuard این بدافزار را شناسایی و مسدود کرده و درجه شدت آن را “بالا” اعلام کردهاند. این شرکت همچنین حفاظتهایی برای مشتریان خود فراهم کرده است، از جمله امضاهای آنتیویروس و قوانین IPS برای شناسایی و پیشگیری از بدافزار.
کاسی الیس، بنیانگذار و مشاور Bugcrowd، یک شرکت پیشرو در امنیت سایبری مبتنی بر جمعسپاری، به Hackread.com گفته است که استفاده از SmokeLoader با الگوی جهانی گستردهتری از مهاجمین سایبری که در حال آمادهسازی برای حملات آینده از طریق نفوذ به سیستمها هستند، همراستا است.
او در ادامه توضیح داد: “با توجه به وضعیت ژئوپولیتیکی، تایوان برای تفکر درباره تهدیدات پیشرفته پایدار (APTها) غریبه نیست و استفاده از SmokeLoader به نظر میرسد با روند عمومی پیشموقعیتیابی که در سایر نقاط جهان مشاهده کردهایم، هماهنگ است.”
چگونه از خود در برابر این تهدید محافظت کنیم؟ برای جلوگیری از گرفتار شدن به بدافزار SmokeLoader، بسیار مهم است که هنگام دریافت ایمیل از منابع ناشناس یا مشکوک محتاط باشید. از کلیک بر روی لینکها یا دانلود پیوستها خودداری کنید، بهویژه اگر از شما خواسته شود که ماکروها را فعال کرده یا فایلهایی را اجرا کنید.
اگر نسبت به ایمیلی حتی از یک منبع آشنا شک دارید، محتوای آن را بهدقت بررسی کنید. لینکها، فایلها و پیوستها را با استفاده از ابزارهایی مانند VirusTotal یا نرمافزار امنیتی سیستم خود اسکن کنید تا از ایمن بودن آنها اطمینان حاصل کنید.
منبع این خبر رسانه فناوری تکنا است. برای دیدن دیگر خبرها به تکنا مراجعه کنید.
منبع خبر بدافزار SmokeLoader از آفیس برای دزدیدن داده ها استفاده میکند پایگاه خبری تکنا به آدرس تکنا میباشد.
3 بازدید کل ، 0 امروز
باج افزار جدید از قابلیت بازیابی فایلها سواستفاده میکند
هکرها روش جدیدی برای انتشار بدافزارها طراحی کردهاند. فایلهای خراب یا آسیبدیدهای که نرمافزارهای آنتیویروس قادر به شناسایی آنها نیستند و زمانی که قربانیان تلاش میکنند این فایلها را بازیابی کنند، سیستمهای آنها را آلوده میکنند.
به گزارش سرویس اخبار امنیت رسانه خبری تکنا، شرکت ANYRUN، ارائهدهنده خدمات اطلاعات تهدیدات سایبری که یک محیط شبیهسازی تعاملی برای تحلیل بدافزارها دارد، هشدار داده است که ممکن است این روش جدید در دنیای واقعی بهعنوان یک حمله روز صفر مورد سوءاستفاده قرار گیرد. مهاجمان از طریق ایمیلهای فیشینگ، آرشیوهای خراب ZIP یا فایلهای MS Office آلوده را ارسال میکنند. این فایلها زمانی که کاربر تلاش میکند آنها را بازیابی کند، اجرا میشوند.
چگونه حمله انجام میشود؟
وقتی یک سند خراب DOCX ممکن است در نرمافزار Word باز نشود، اما برنامه پیامی به این مضمون نمایش میدهد: “آیا میخواهید محتوای این سند را بازیابی کنید؟”
اگر کاربر گزینه “بله” را انتخاب کند، نرمافزار Word فایل مخرب را بازسازی و پردازش میکند.
این روش باعث میشود تا فایلهای مخرب از شناسایی توسط آنتیویروسها و همچنین فیلترهای هرزنامه در Outlook عبور کرده و به صندوق ورودی کاربران برسند. این فایلها تنها در حالت بازیابی توسط برنامههای مربوطه اجرا میشوند.
شرکت ANY.RUN در پلتفرم X توضیح داد: مهاجمان تلاش میکنند نوع فایل را با خراب کردن عمدی آن پنهان کنند، که این کار باعث میشود برخی از ابزارهای امنیتی نتوانند فایل را شناسایی کنند.
با اینکه این فایلها خراب و آسیبدیده به نظر میرسند، همچنان برای ابزارهای امنیتی غیرقابل شناسایی باقی میمانند، اما برنامههای کاربری به دلیل سازوکارهای داخلی بازیابی، بدون مشکل آنها را پردازش میکنند.
شکست ابزارهای امنیتی
هیچکدام از ۶۰ ارائهدهنده امنیتی که فایلهای مشکوک را در پلتفرم VirusTotal تحلیل کردند، این فایلها را بهعنوان بدافزار شناسایی نکردند. زمانی که فایلهای خراب به ابزارهای امنیتی ارائه میشوند، این ابزارها فرض میکنند که باید محتوای فایل (مثلاً فایلهای درون آرشیو) را اسکن کنند، اما به دلیل عدم توانایی در استخراج محتوا، اسکن آغاز نمیشود و فایل آلوده نادیده گرفته میشود.
محققان توضیح دادهاند: «مهاجمان از مکانیسمهای بازیابی فایلهای ‘آسیبدیده’ بهگونهای سوءاستفاده میکنند که برنامههای مربوطه مانند Microsoft Word، Outlook یا WinRAR که دارای فرایندهای بازیابی داخلی هستند، این فایلها را بدون مشکل مدیریت میکنند.»
یک نمونه از حمله
در یک مثال ارائهشده، مهاجمان از یک ایمیل فیشینگ استفاده کردند که وانمود میکرد از طرف بخش منابع انسانی ارسال شده است و موضوع ایمیل به افزایش احتمالی حقوق اشاره داشت. فایل مخرب پیوستشده یک سند Word خراب بود که پس از بازیابی، کاربران را ترغیب میکرد تا یک کد QR مخرب را اسکن کنند. این کد کاربران را به دامنهای مخرب هدایت میکرد.
تاکتیکی برای سرقت اطلاعات حساس
این روش بهطور گسترده برای انتشار ابزارهای سرقت اطلاعات (infostealers) استفاده میشود. این ابزارها میتوانند اطلاعاتی مانند نام کاربری و رمز عبور، کیف پولهای رمز ارز، اطلاعات کارتهای اعتباری و دیگر دادههای حساس را سرقت کنند.
محققان ANY.RUN هشدار دادهاند که این روش جدید حمله حداقل از چند ماه پیش مورد استفاده قرار گرفته است و نخستین موارد مشاهدهشده به آگوست سال جاری بازمیگردد. این تاکتیک جدید چالشی جدی برای کاربران و شرکتهای امنیت سایبری ایجاد کرده و نشاندهنده ضرورت افزایش آگاهی و تقویت ابزارهای امنیتی است.
منبع این خبر رسانه فناوری تکنا است. برای دیدن دیگر خبرها به تکنا مراجعه کنید.
منبع خبر باج افزار جدید از قابلیت بازیابی فایلها سواستفاده میکند پایگاه خبری تکنا به آدرس تکنا میباشد.
4 بازدید کل ، 0 امروز
