در یک روز کاری پشت میز خود نشسته اید و یک لینک دعوت برای جلسه Zoom دریافت می‌کنید. ظاهری آشنا دارد و تنها کافیست روی لینک کلیک کنید تا وارد جلسه شوید. اما آنچه نمی‌دانید، این است که یک کلیک ساده ممکن است دارایی‌های دیجیتال شما را برای همیشه از دسترس‌تان خارج کند! اخیراً یک کمپین فیشینگ پیشرفته توانسته است با سوءاستفاده از اعتماد کاربران به پلتفرم Zoom، میلیون‌ها دلار ارز دیجیتال را به سرقت ببرد.

داستان این حمله چگونه آغاز شد؟

تحقیقات اخیر شرکت امنیت بلاکچین SlowMist  نشان داده که هکرها از یک دامنه جعلی به نام app[.]us4zoom[.]us  برای فریب کاربران استفاده کرده‌اند. این سایت به‌گونه‌ای طراحی شده که به‌طور کامل شبیه به رابط کاربری Zoom است. اما به جای راه‌اندازی جلسه  Zoom، کاربران را وادار می‌کند یک نرم‌افزار مخرب به نام ZoomApp_v.3.14.dmg  را دانلود کنند.

مکانیسم حمله: جزئیات کامل از نحوه نفوذ و سرقت اطلاعات

این حمله فیشینگ با بهره‌گیری از ترکیبی از مهندسی اجتماعی و بدافزارهای پیشرفته طراحی شده است. مراحل این حمله عبارتند از:

 ایجاد دامنه جعلی برای فریب کاربران

هکرها یک وب‌سایت جعلی با دامنه app[.]us4zoom[.]us  طراحی کردند که از نظر ظاهری به وب‌سایت اصلی Zoom شباهت زیادی داشت. این سایت شامل جزئیات کاملی بود که کاربران را به اشتباه می‌انداخت و آن‌ها را متقاعد می‌کرد که در حال ورود به یک جلسه Zoom واقعی هستند.

ارسال لینک فیشینگ به کاربران

لینک‌های جعلی از طریق ایمیل‌ها یا پیام‌ ارسال شدند. این لینک‌ها معمولاً به عنوان دعوت‌نامه برای جلسات کاری یا مهم ظاهر می‌شدند تا حس فوریت و اهمیت را در کاربر ایجاد کنند.

دانلود نرم‌افزار مخرب

پس از کلیک بر روی لینک، کاربران به صفحه‌ای هدایت می‌شدند که در ظاهر مانند رابط کاربری Zoom بود. در این صفحه، یک دکمه جعلی به نام "Launch Meeting" وجود داشت. اما به جای راه‌اندازی نرم‌افزار Zoom، این دکمه فایل مخربی به نام ZoomApp_v.3.14.dmg  را دانلود می‌کرد.

دریافت دسترسی از کاربر

بعد از اجرای فایل دانلود شده، برنامه مخرب از کاربر درخواست می‌کرد که رمز عبور سیستم خود را وارد کند. این مرحله حیاتی بود، زیرا با این کار، هکرها دسترسی عمیق‌تری به سیستم قربانی پیدا می‌کردند.

اجرای بدافزار و سرقت اطلاعات

بدافزار نصب شده شامل یک اسکریپت پنهان به نام ZoomApp.file  بود که وظیفه اصلی آن اجرای یک فایل اجرایی مخفی به نام .ZoomApp  بود. این فایل به صورت خودکار شروع به جمع‌آوری اطلاعات حساس قربانی می‌کرد، از جمله:

 اطلاعات سیستم:  مانند مشخصات سخت‌افزاری و نرم‌افزاری.

 داده‌های مرورگر:  شامل کوکی‌ها و تاریخچه جستجو.

 کلیدهای کیف پول ارز دیجیتال:  که برای دسترسی به دارایی‌های دیجیتال ضروری هستند.

 اطلاعات تلگرام و یادداشت‌ها:  داده‌های ذخیره‌شده در برنامه‌ها.

 رمزهای عبور ذخیره‌شده:  مانند اطلاعات ذخیره‌شده در  KeyChain.

ارسال داده‌ها به سرور هکرها

تمام اطلاعات جمع‌آوری شده به سروری تحت کنترل هکرها در آدرس 141.98.9.20  ارسال می‌شد. این سرور توسط پلتفرم‌های اطلاعاتی امنیتی به عنوان مخرب شناسایی شده است.

پول‌شویی دارایی‌های سرقت‌شده

پس از دریافت کلیدهای کیف پول، هکرها دارایی‌های دیجیتال قربانیان را به آدرس کیف پول خود منتقل می‌کردند. دارایی‌های سرقت‌شده شامل بیش از 1 میلیون دلار ارز دیجیتال (مانند ETH) بود. هکرها این دارایی‌ها را از طریق صرافی‌های مختلف مانند Binance  و Gate.io  به پول نقد و ارزهای دیگر تبدیل کردند.

استفاده از ابزارهای تکمیلی

هکرها از آدرس‌های دیگری برای تأمین هزینه تراکنش‌های سرقتی استفاده کردند. برای مثال، آدرسی به نام 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e  شناسایی شد که به بیش از 8800 آدرس کوچک مقادیر کمی ETH ارسال کرده است.

بیشتر بخوانید: حمله سایبری به سبک همسایه نزدیک: تکنیکی نوین در دنیای جاسوسی سایبری

 چرا این حمله موفق بود؟

 اعتماد کاربران به :Zoom  Zoom یک پلتفرم محبوب و قابل اعتماد است که به طور گسترده در جلسات کاری و شخصی استفاده می‌شود.

 مهندسی اجتماعی قوی:  طراحی سایت و دعوت‌نامه‌ها به‌گونه‌ای بود که قربانیان به راحتی فریب بخورند.

 تکنیک‌های پیچیده بدافزاری:  استفاده از اسکریپت‌های پنهان و برنامه‌های چندلایه برای سرقت داده‌ها و انتقال آن‌ها.

کشف ردپای مجرمان:

با استفاده از ابزارهای رهگیری بلاکچین، SlowMist  توانسته آدرس کیف پول هکرها را شناسایی کند.
این آدرس تاکنون بیش از 1 میلیون دلار دارایی دیجیتال از جمله ETH را دریافت کرده است. بخشی از این دارایی‌ها از طریق پلتفرم‌هایی مانند Binance، Gate.io  و Swapspace  پول‌شویی شده‌اند.

  توصیه‌های امنیتی برای کاربران:

 لینک‌ها را قبل از کلیک بررسی کنید:  مطمئن شوید که لینک دریافتی با آدرس رسمی Zoom مطابقت دارد.

 از اجرای فایل‌های ناشناخته خودداری کنید:  هرگز نرم‌افزارهایی که از منابع ناشناس دانلود می‌شوند را نصب نکنید.

 نرم‌افزار آنتی‌ویروس معتبر و نسل جدید نصب کنید:  اگرچه نصب یک نرم‌افزار آنتی‌ویروس معتبر می‌تواند سطح ابتدایی امنیت را فراهم کند، اما در برابر تهدیدات پیچیده‌تر مانند حملات فیشینگ و بدافزارهای پیشرفته کافی نیست. به جای استفاده از ابزارهای سنتی، راهکارهای مدرن‌تری مانند فایروال نسل جدید (NGFW) پیشنهاد می‌شوند که قابلیت‌های فراتر از یک آنتی‌ویروس دارند. NGFW  با تحلیل لینک‌ها و صفحات وب می‌تواند لینک‌های فیشینگ را به‌سرعت شناسایی و مسدود کند. به‌این‌ترتیب، کاربران حتی در صورت کلیک روی لینک‌های جعلی نیز دچار آسیب نمی‌شوند.

هم چنین فایروال های نسل جدید (NGFW) ابزارهایی برای محافظت از کلیدهای خصوصی و کیف پول‌های ارز دیجیتال دارد. این ویژگی برای کاربرانی که در دنیای رمزارز فعالیت دارند، یک ضرورت است.

 محافظت چندلایه برای دارایی‌های دیجیتال:  کیف پول‌های سخت‌افزاری و احراز هویت دوعاملی می‌توانند امنیت شما را افزایش دهند.

  نحوه شناسایی حملات مشابه فیشینگ زوم

برای شناسایی این نوع حملات و جلوگیری از به دام افتادن در تله فیشینگ، می‌توانید از روش‌های زیر استفاده کنید:

  بررسی لینک دعوت به جلسه

 همیشه لینک جلسات Zoom را با دقت بررسی کنید.

 لینک اصلی Zoom باید با دامنه معتبر مانند .us  zoomیا zoom.com  شروع شود.

 در این حمله، مهاجمان از دامنه‌ای جعلی مانند app[.]us4zoom[.]us  استفاده کرده‌اند. به جزئیات آدرس وب توجه کنید و از کلیک روی لینک‌هایی با دامنه‌های ناشناخته خودداری کنید.

  اجتناب از دانلود فایل‌های مشکوک

 هنگام کلیک روی لینک‌های جلسه Zoom، نرم‌افزار رسمی Zoom باید به طور خودکار باز شود.

 در این حمله، کاربران به جای اجرای جلسه، به دانلود فایلی جعلی به نام ZoomApp_v.3.14.dmg  هدایت می‌شدند. از دانلود یا اجرای چنین فایل‌هایی خودداری کنید.

بررسی درخواست‌های غیرمعمول

 بدافزار این حمله پس از نصب، از کاربران می‌خواست رمز عبور سیستم خود را وارد کنند. این یک هشدار جدی است، زیرا نرم‌افزارهای معتبر نیازی به چنین اطلاعاتی ندارند.

 هرگونه درخواست برای وارد کردن اطلاعات حساس را با شک و تردید بررسی کنید.

تحلیل رفتار نرم‌افزار

 اگر نرم‌افزار دانلودشده اقدام به جمع‌آوری اطلاعات سیستم، کوکی‌ها یا کلیدهای کیف پول ارز دیجیتال کند، نشان‌دهنده وجود بدافزار است.

بررسی آدرس سرورهای ارتباطی

 اطلاعات سرقت‌شده در این حمله به سروری به آدرس IP 141.98.9.20 ارسال می‌شد. این سرور به‌عنوان یک سرور مخرب در پلتفرم‌های اطلاعات تهدید شناسایی شده است.

 استفاده از ابزارهای امنیتی مانند NGFW می‌تواند به شناسایی و مسدود کردن ارتباط با چنین سرورهایی کمک کند.

پایش فعالیت‌های مشکوک در کیف پول‌های رمزارز

 اگر متوجه جابجایی غیرمجاز دارایی‌ها در کیف پول‌های رمزارز شدید، احتمالاً سیستم شما به بدافزار آلوده شده است.

 ابزارهایی مانند MistTrack  می‌توانند برای شناسایی تراکنش‌های غیرمجاز و ردیابی دارایی‌های سرقت‌شده استفاده شوند.

 ابزارهای پیشنهادی برای شناسایی این نوع حمله

جهت شناسایی این نوع حملات لازم است ابزارهایی را در دسترس داشته باشیم تا از آسیب های جدی و خسارات سنگین این نوع حملات در امان باشیم. در ادامه ابزارهای پیشنهادی را با هم بررسی می کنیم:

NGFW (Next-Generation Firewall)

فایروال‌های نسل جدید یک راهکار قدرتمند برای شناسایی و مسدودسازی تهدیدات سایبری در لایه‌های مختلف شبکه هستند:

مزایا:

 شناسایی و مسدودسازی دامنه‌های مخرب

 تحلیل رفتار ترافیک شبکه و شناسایی الگوهای غیرعادی مانند ارسال داده‌ها به سرورهای مشکوک

 جلوگیری از حملات فیشینگ و بدافزار از طریق سیستم‌های شناسایی و جلوگیری از نفوذ (IDS/IPS).

 EDR (Endpoint Detection and Response)

ابزارهای EDR برای شناسایی فعالیت‌های مشکوک در نقاط انتهایی (سیستم‌های کاربران) بسیار موثر هستند:

مزایا:

 شناسایی بدافزارهایی مانند ZoomApp.file  که در این حمله استفاده شده‌اند.

 تحلیل رفتارهای غیرعادی در سیستم‌ها، مانند تلاش برای دسترسی به رمزهای عبور یا فایل‌های حساس.

 امکان بررسی فایل‌های اجرایی مانند .ZoomApp و شناسایی کدهای مخرب.

 ارائه گزارش‌های دقیق و امکان پاسخ‌دهی سریع به تهدیدات.

آنتی‌ویروس و ضدبدافزار پیشرفته

استفاده از آنتی‌ویروس‌های به‌روز و پیشرفته، یک لایه دفاعی اساسی است:

مزایا:

 شناسایی فایل‌های مشکوک مانند ZoomApp_v.3.14.dmg.

 قرنطینه و حذف بدافزارها پیش از اجرا

 ارائه قابلیت‌هایی برای محافظت از داده‌های حساس مانند کلیدهای کیف پول رمزارز

 SIEM (Security Information and Event Management)

سیستم‌های SIEM به تحلیل و همبستگی رویدادهای امنیتی در شبکه کمک می‌کنند:

مزایا:

 شناسایی رفتارهای غیرمعمول در ترافیک شبکه، مانند ارسال داده‌ها به سرورهای ناشناخته.

 ارائه گزارش‌های جامع برای تحلیل حملات و نقاط ضعف.

ابزارهای تحلیل تراکنش‌های بلاک‌چین

برای شناسایی و ردیابی دارایی‌های دیجیتال سرقت‌شده:

مزایا:

 ردیابی آدرس‌های هکرها مانند 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac.

 شناسایی الگوهای انتقال دارایی و تلاش برای بازیابی آن‌ها.

DNS Filtering Tools

ابزارهای فیلتر کردن DNS می‌توانند از دسترسی کاربران به دامنه‌های مخرب جلوگیری کنند:

مزایا:

 شناسایی دامنه‌های فیشینگ و مسدودسازی آن‌ها پیش از کلیک.

 کاهش احتمال نفوذ بدافزار از طریق فیشینگ.

نتیجه‌گیری:

این حمله نشان‌دهنده خلاقیت و پیچیدگی روش‌های هکرها برای فریب کاربران است. در دنیایی که فناوری بلاکچین و ارزهای دیجیتال به سرعت در حال گسترش است، حفاظت از داده‌ها و دارایی‌ها به اولویتی حیاتی تبدیل شده است. حملات فیشینگ مانند کمپین جعلی Zoom نشان می‌دهند که روش‌های قدیمی و ابزارهای سنتی دیگر برای محافظت از داده‌ها و دارایی‌های دیجیتال کافی نیستند. در دنیایی که هکرها از تکنیک‌های پیشرفته و بدافزارهای هوشمند استفاده می‌کنند، تنها راه‌حل واقعی، بهره‌گیری از ابزارهای امنیتی مدرن و چندلایه است.

شما چه فکر می‌کنید؟ آیا تا به حال قربانی چنین حملاتی شده‌اید؟ نظرات خود را با ما در میان بگذارید!