بدافزار تایپسکوتینگ راکت راکت در کاربران ویندوز و اندروید

به گفته یک شرکت اطلاعاتی تهدیدات و وب سایت امنیت سایبری، یک کمپین فیشینگ در مقیاس بزرگ که بر اساس typosquatting ساخته شده است، کاربران ویندوز و اندروید را با بدافزار هدف قرار می دهد.

این کمپین که در حال حاضر در حال انجام است از بیش از 200 دامنه typosquatting استفاده می کند که جعل هویت 27 برند هستند تا وب گردها را فریب دهند تا نرم افزارهای مخرب را در رایانه ها و تلفن های خود دانلود کنند. Bleeping Computer یکشنبه گزارش داد.

شرکت اطلاعاتی تهدید سیبل این کمپین را هفته گذشته در یک وبلاگ فاش کرد. گزارش شده است که وب‌سایت‌های فیشینگ، بازدیدکنندگان را فریب می‌دهند تا برنامه‌های جعلی اندروید را دانلود کنند که جعل هویت Google Wallet، PayPal و Snapchat هستند که حاوی تروجان بانکی ERMAC هستند.

BleepingComputer توضیح داد که در حالی که Cyble بر بدافزار اندروید کمپین تمرکز کرده است، عملیات بسیار بزرگتری با هدف ویندوز توسط همان عوامل تهدید اجرا می شود. این کمپین دارای بیش از 90 وب سایت است که برای نفوذ بدافزارها و سرقت ساخته شده اند کلیدهای بازیابی ارزهای دیجیتال.

تبلیغات

Typosquatting یک تکنیک قدیمی برای هدایت مسافران فضای مجازی به وب سایت های مخرب است. BleepingComputer توضیح داد که در این کمپین، دامنه های استفاده شده بسیار نزدیک به نسخه اصلی هستند، با یک حرف جابجا شده از دامنه یا یک “s” به آن اضافه شده است.

سایت های فیشینگ نیز معتبر به نظر می رسند. آن‌ها یا شبیه‌سازی‌های سایت‌های واقعی هستند یا برای فریب دادن یک بازدیدکننده معمولی کافی هستند.

به طور معمول، قربانیان با ایجاد یک اشتباه تایپی در URL وارد شده در نوار آدرس مرورگر، به سایت‌ها پایان می‌دهند، اما URLها گاهی اوقات در ایمیل‌ها، پیام‌های SMS و رسانه‌های اجتماعی نیز درج می‌شوند.

شرود دگریپو، معاون تحقیقات و شناسایی تهدیدات در این باره گفت: «Typosquatting چیز جدیدی نیست. اثبات، یک شرکت امنیتی سازمانی در Sunnyvale، کالیفرنیا.

DeGrippo به TechNewsWorld گفت: «Goggle.com بازدیدکنندگان تصادفی را به یک سایت مخرب با بارگیری بدافزارهای Drive-by در اوایل سال 2006 ارسال می کرد.

مقیاس غیر معمول

اگرچه این کمپین از تکنیک های فیشینگ آزمایش شده و واقعی استفاده می کند، اما دارای برخی ویژگی های متمایز است. کارشناسان امنیتی به TechNewsWorld گفتند.

مایک پارکین، مهندس فنی ارشد در مشاهده کرد: “اندازه این کمپین غیرعادی است، حتی اگر تکنیک قدیمی باشد.” Vulcan Cyber، ارائه دهنده SaaS برای اصلاح ریسک سایبری سازمانی، در تل آویو، اسرائیل.

جرود پیکر، تحلیلگر اطلاعاتی رقابتی، اضافه کرد: «به نظر می‌رسد که این کمپین خاص از نظر مقیاس بسیار بزرگتر از تلاش‌های معمولی برای حذف تایپی باشد. غریزه عمیق، یک شرکت امنیت سایبری یادگیری عمیق در شهر نیویورک.

گریسون میلبورن، مدیر اطلاعات امنیتی در شرکت، خاطرنشان کرد: تمرکز بر برنامه های تلفن همراه یک انحراف دیگر از هنجار است. راه حل های امنیتی متن باز، یک شرکت جهانی شناسایی و پاسخ به تهدیدات.

او گفت: «هدف قرار دادن برنامه‌های تلفن همراه و وب‌سایت‌های مرتبط با هدف توزیع برنامه‌های مخرب اندروید چیزی است که جدید نیست، اما به اندازه تایپسکوت که وب‌سایت‌های نرم‌افزار ویندوز را هدف قرار می‌دهد، رایج نیست».

هنک شللس، مدیر ارشد راه حل های امنیتی در این باره می گوید، آنچه در مورد کمپین جالب است، اتکای آن به اشتباهات تایپی توسط کاربران و تحویل عمدی URL های مخرب به اهداف است. مراقب باش، ارائه دهنده راه حل های فیشینگ تلفن همراه مستقر در سانفرانسیسکو.

“به نظر می رسد که این یک کمپین خوب است [a] اگر یک فرد یا سازمان امنیت مناسبی نداشته باشد، شانس موفقیت بالایی دارد.»

چرا Typosquatting کار می کند؟

راجر گرایمز، مبشر دفاعی در این باره گفت: کمپین های فیشینگ که از typosquatting سوء استفاده می کنند، برای موفقیت نیازی به نوآوری ندارند. KnowBe4، یک ارائه دهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا.

او به TechNewsWorld گفت: «همه کمپین‌های typosquatting بدون نیاز به ترفندهای پیشرفته یا جدید نسبتاً مؤثر هستند. و بسیاری از ترفندهای پیشرفته مانند حملات هموگلیفیک وجود دارد که لایه دیگری را اضافه می کند که می تواند حتی متخصصان را فریب دهد.

هموگلیف ها کاراکترهایی هستند که شبیه یکدیگر هستند، مانند حرف O و صفر (0)، یا حرف بزرگ I و حرف کوچک l (EL) که در فونت sans serif مانند Calibri یکسان به نظر می رسند.

گریمز ادامه داد: «اما شما تعداد زیادی از این حملات پیشرفته‌تر را در آنجا پیدا نمی‌کنید، زیرا برای موفقیت به آن‌ها نیازی ندارند». “چرا وقتی می توانی راحت کار کنی سخت کار کنی؟”

تبلیغات

Abhay Bhargav، مدیر عامل شرکت، گفت که تایپسکوت به دلیل اعتماد کار می کند AppSecEngineer، یک ارائه دهنده آموزش امنیتی در سنگاپور.

بهارگاو به TechNewsWorld گفت: «مردم آنقدر به دیدن و خواندن نام‌های معروف عادت کرده‌اند که فکر می‌کنند یک سایت، برنامه یا بسته نرم‌افزاری تقریباً مشابه و با آرم مشابه با محصول اصلی یکسان است.

او گفت: «مردم از فکر کردن به تفاوت‌های املایی جزئی یا مغایرت‌های دامنه‌ای که محصول اصلی را از جعلی متمایز می‌کند، فکر نمی‌کنند.

برخی از ثبت کنندگان دامنه قابل سرزنش هستند

Piker توضیح داد که هنگام تایپ یک URL بسیار آسان است که “انگشت چاق” شود، بنابراین PayPal تبدیل به PalPay می شود.

او گفت: «این مورد بازدیدهای زیادی را به همراه خواهد داشت، به ویژه از آنجایی که حملات تایپسکوتینگ معمولاً صفحه‌ای وب را ارائه می‌دهند که اساساً شبیه‌سازی شده از صفحه اصلی است».

او اضافه کرد: «حمله‌کنندگان همچنین چندین دامنه مشابه را ربوده‌اند تا اطمینان حاصل کنند که بسیاری از اشتباهات تایپی با هم مطابقت دارند.

گریمز اظهار داشت که سیستم‌های ثبت دامنه فعلی نیز کمکی به مسائل نمی‌کنند.

او توضیح داد: «مشکل بدتر می‌شود زیرا برخی از سرویس‌ها به وب‌سایت‌های بد اجازه می‌دهند گواهی‌های دامنه TLS/HTTPS را دریافت کنند، که بسیاری از کاربران معتقدند به این معنی است که وب‌سایت امن و مطمئن است». بیش از 80 درصد از وب سایت های بدافزار دارای گواهی دیجیتال هستند. این کل سیستم زیرساخت کلید عمومی را به سخره می گیرد.”

گریمز ادامه داد: «علاوه بر آن، سیستم نام‌گذاری دامنه اینترنتی خراب است، و به ثبت‌کنندگان دامنه اینترنتی بدیهی اجازه می‌دهد تا دامنه‌های ثبت‌کننده‌ای غنی داشته باشند که به راحتی قابل مشاهده هستند، در نوعی حمله اشتباه استفاده می‌شوند. مشوق‌های سود، که به ثبت‌کنندگان برای نگاه کردن به سمت دیگر پاداش می‌دهد، بخش بزرگی از مشکل است.»

مرورگرهای موبایل حساس تر هستند

عوامل شکل سخت افزاری نیز می توانند به این مشکل کمک کنند.

Schless توضیح داد: “Typosquatting به دلیل نحوه ساخت سیستم عامل های تلفن همراه برای ساده سازی تجربه کاربر و به حداقل رساندن شلوغی در صفحه نمایش کوچکتر، در دستگاه های تلفن همراه بسیار موثرتر است.”

او ادامه داد: «مرورگرها و برنامه‌های تلفن همراه برای بهبود تجربه کاربری، URLها را کوتاه می‌کنند، بنابراین قربانی ممکن است در وهله اول نتواند URL کامل را ببیند، حتی کمتر متوجه اشتباه تایپی در آن شود. «افراد معمولاً یک URL را در تلفن همراه پیش‌نمایش نمی‌کنند، این کاری است که ممکن است در رایانه با نگه داشتن ماوس روی آن انجام دهند».

Szilveszter Szebeni، CISO و یکی از بنیانگذاران، موافق هستند که تایپسکوت برای فیشینگ در تلفن های همراه موثرتر است زیرا URL ها به طور کامل قابل مشاهده نیستند. Tresorit، یک شرکت راه حل های امنیتی مبتنی بر رمزگذاری ایمیل در زوریخ.

او به TechNewsWorld گفت: «برای اجرای تروجان‌ها، نه چندان، زیرا مردم معمولاً از برنامه یا فروشگاه‌های بازی استفاده می‌کنند.

چگونه در برابر تایپوسکوات محافظت کنیم

برای محافظت از خود در برابر تبدیل شدن به قربانی فیشینگ تایپی، Piker به کاربران توصیه کرد هرگز پیوندهای موجود در پیام‌های SMS یا ایمیل‌های فرستنده ناشناس را دنبال نکنند.

او همچنین توصیه کرد هنگام تایپ URL ها، به ویژه در دستگاه های تلفن همراه، مراقب باشید.

DeGrippo افزود: “در صورت شک، کاربر می تواند به جای کلیک بر روی یک لینک مستقیم، نام دامنه ایجاد شده را مستقیماً در گوگل جستجو کند.”

در همین حال، Schless پیشنهاد کرد که مردم کمی کمتر به دستگاه های تلفن همراه خود اعتماد کنند.

او گفت: “ما می دانیم که راه حل های ضد بدافزار و ضد فیشینگ را روی رایانه های خود نصب کنیم، اما به دستگاه های تلفن همراه اعتماد ذاتی داریم، به طوری که فکر می کنیم لازم نیست همین کار را در دستگاه های iOS و Android انجام دهیم.”

او خاطرنشان کرد: «این کمپین یکی از نمونه‌های بی‌شماری است که نشان می‌دهد چگونه عوامل تهدید از اعتماد ما علیه ما استفاده می‌کنند، که نشان می‌دهد چرا داشتن یک راه‌حل امنیتی به‌طور خاص برای تهدیدات تلفن همراه در گوشی‌های هوشمند و تبلت‌های شما حیاتی است.»