خطر در کمین کامپیوترهای ویندوزی

گروه فناوری

کدخبر: 608894 پنجشنبه 30 بهمن 1404

مهاجمان و هکرها حفره‌ای را شناسایی کرده‌اند که به آنها اجازه می‌دهد با استفاده از صفحات جعلی CAPTCHA، کاربران ویندوز را فریب دهند و بدافزار Stealthy StealC Information Stealer را اجرا کنند. پژوهشگران امنیتی LevelBlue اعلام کرده‌اند StealC اطلاعاتی مانند اعتبارنامه‌های مرورگر، کیف‌پول‌های رمزارزی، حساب‌های استیم، اطلاعات اوت‌لوک، اطلاعات سیستمی و اسکرین‌شات‌ها را از طریق ترافیک HTTP رمزگذاری‌شده با RC4 به سرور فرمان و کنترل (C2) منتقل می‌کند.

جهان صنعت– مهاجمان و هکرها حفره‌ای را شناسایی کرده‌اند که به آنها اجازه می‌دهد با استفاده از صفحات جعلی CAPTCHA، کاربران ویندوز را فریب دهند و بدافزار Stealthy StealC Information Stealer را اجرا کنند. پژوهشگران امنیتی LevelBlue اعلام کرده‌اند StealC اطلاعاتی مانند اعتبارنامه‌های مرورگر، کیف‌پول‌های رمزارزی، حساب‌های استیم، اطلاعات اوت‌لوک، اطلاعات سیستمی و اسکرین‌شات‌ها را از طریق ترافیک HTTP رمزگذاری‌شده با RC4 به سرور فرمان و کنترل (C2) منتقل می‌کند. این کارزار مهندسی اجتماعی از صفحات تایید هویت جعلی کپچا در وب‌سایت‌های آلوده بهره می‌برد؛ صفحاتی که بررسی‌های امنیتی مشابه Cloudflare را شبیه‌سازی می‌کنند. در نتیجه برخی کاربران ویندوز بدون اطلاع، دستورات مخرب PowerShell را که در قالب فرآیند عادی تایید نمایش داده می‌شود، به‌صورت دستی اجرا می‌کنند. ماهیت واقعی کپچا برای بسیاری روشن نیست اما با گسترش عصر هوش‌مصنوعی، تشخیص انسان از ربات در فضای آنلاین اهمیت بیشتری پیدا کرده است. کپچا با هدف جلوگیری از اسپم و مقابله با تلاش‌ برای شکستن رمز عبور طراحی شده‌اند اما صرف دقت در انتخاب وب‌سایت‌ها برای کاهش ریسک‌های امنیتی کافی نیست چون مهاجمان از روش‌های پیچیده‌تری استفاده می‌کنند. در نمونه‌ای از این حمله، کاربران ویندوز وارد سایتی ظاهرا معتبر می‌شوند که پیشتر توسط هکرها آلوده شده است. کد جاوااسکریپت مخرب در آن سایت بارگذاری می‌شود و صفحه‌ای جعلی با ظاهر رابط تایید Cloudflare را نمایش می‌دهد اما به‌جای نمایش آزمون تصویری، صفحه‌ جعلی از کاربر می‌خواهد برای تکمیل فرآیند تایید، کلید Windows + R را فشار دهد، سپس Ctrl + V را بزند و در نهایت اینتر را انتخاب کند. روش مذکور که ClickFix نام دارد، بر اعتماد کاربران به پیام‌های ساده‌ی کیبورد تکیه می‌کند؛ پیام‌هایی که معمولا هنگام تعامل با منابع به‌ظاهر معتبر، کمتر مورد تردید قرار می‌گیرند و شبیه بررسی عادی امنیتی به نظر می‌رسند. با اجرای این میانبرها، دستور مخرب پاورشل از پیش در حافظه‌ی کلیپ‌بورد قرار می‌گیرد و هنگام جای‌گذاری در پنجره‌ی Run اجرا می‌شود؛ بدون آنکه هشدار دانلود مرورگر یا اخطار امنیتی فعال شود. در ادامه، اسکریپت پاورشل به سروری راه دور متصل می‌شود تا کد اصلی را دریافت کند. این فرآیند دانلودگری را فعال می‌کند که ممکن است از سد برخی سازوکارهای رایج مقابله با حملات عبور کند. برای تقویت امنیت، می‌توان اجرای اسکریپت‌ها را محدود کرد، کنترل سختگیرانه‌تری بر اجرای اپ‌ها در ویندوز اعمال کرد و ترافیک خروجی شبکه را زیر نظر گرفت تا خطر افشای اعتبارنامه‌ها کاهش یابد؛ اقداماتی که اجرای آنها به دانش فنی نیاز دارد.

منبع: زومیت