چتان راگوپراساد، محقق Cisco Talos، در گزارشی که امروز منتشر شد، توضیح داد که باجافزار CyberLock با استفاده از PowerShell توسعه یافته و عمدتاً بر رمزگذاری فایلهای خاص در سیستم قربانی تمرکز دارد. Lucky_Gh0$t نیز نوع دیگری از باجافزار Yashma است که ششمین نسخه از سری باجافزار Chaos محسوب میشود و تنها تغییرات جزئی در فایل باینری باجافزار دارد.
از سوی دیگر، Numero یک بدافزار مخرب است که با دستکاری اجزای رابط کاربری گرافیکی سیستم عامل ویندوز، دستگاههای قربانیان را غیرقابل استفاده میکند.
شرکت امنیت سایبری اعلام کرد که نسخههای قانونی این ابزارهای هوش مصنوعی در حوزه فروش B2B و بخش بازاریابی محبوب هستند. این موضوع نشان میدهد که افراد و سازمانهای فعال در این صنایع هدف اصلی مهاجمان سایبری هستند.
یکی از وبسایتهای جعلی راهحلهای هوش مصنوعی، novaleadsai.com است که احتمالاً پلتفرم کسب درآمد از سرنخهای فروش به نام NovaLeads را جعل میکند. گمان میرود این وبسایت از طریق تکنیکهای مسمومیت SEO برای بالا بردن مصنوعی رتبه خود در موتورهای جستجو تبلیغ میشود.
کاربرانی که به این وبسایت هدایت میشوند، با ادعای ارائه دسترسی رایگان به ابزار برای سال اول و اشتراک ماهانه 95 دلار پس از آن، ترغیب به دانلود محصول میشوند. آنچه در واقع دانلود میشود، یک فایل ZIP حاوی یک فایل اجرایی NET. به نام NovaLeadsAI.exe است که در 2 فوریه 2025 کامپایل شده، همان روزی که دامنه جعلی ایجاد شد.
این فایل باینری به عنوان یک لودر عمل میکند تا باجافزار CyberLock مبتنی بر PowerShell را مستقر کند. این باجافزار قادر است دسترسیهای خود را افزایش دهد و در صورت نداشتن مجوزهای مدیریتی، خود را مجدداً با این مجوزها اجرا کند. سپس فایلهای موجود در پارتیشنهای C، D و E که با پسوندهای خاصی مطابقت دارند را رمزگذاری میکند.
در مرحله بعد، یادداشت باجخواهی منتشر میشود که خواستار پرداخت 50 هزار دلار به صورت مونرو به دو کیف پول در عرض سه روز است. جالب اینجاست که مهاجم در یادداشت باجخواهی ادعا میکند این پرداختها برای حمایت از زنان و کودکان در فلسطین، اوکراین، آفریقا، آسیا و سایر مناطقی که بیعدالتیها واقعیت روزمره هستند، تخصیص داده خواهد شد.
یادداشت میگوید: “از شما میخواهیم در نظر بگیرید که این مبلغ در مقایسه با جانهای بیگناهی که از دست میروند، بهویژه کودکانی که بالاترین بها را میپردازند، ناچیز است. متأسفانه به این نتیجه رسیدهایم که بسیاری حاضر به کمک داوطلبانه نیستند، که این را به تنها راهحل ممکن تبدیل میکند.”
آخرین مرحله شامل استفاده مهاجم از ابزار cipher.exe با گزینه /w برای حذف فضای دیسک استفاده نشده در کل حجم است تا بازیابی فایلهای حذف شده توسط کارشناسان پزشکی قانونی دشوار شود.
Talos همچنین مشاهده کرد که مهاجمی باجافزار Lucky_Gh0$t را تحت پوشش نصبکننده جعلی نسخه پرمیوم ChatGPT توزیع میکند. نصبکننده مخرب SFX شامل پوشهای بود که حاوی فایل اجرایی باجافزار Lucky_Gh0$t با نام dwn.exe بود که فایل اجرایی قانونی مایکروسافت dwm.exe را تقلید میکند.
در صورتی که قربانی فایل نصبکننده مخرب SFX را اجرا کند، اسکریپت SFX بار مخرب باجافزار را اجرا میکند. Lucky_Gh0$t که نوعی از باجافزار Yashma است، فایلهایی با حجم کمتر از 1.2 گیگابایت را برای رمزگذاری هدف قرار میدهد، اما قبل از آن کپیهای سایه حجم و پشتیبانها را حذف میکند.
یادداشت باجخواهی که در پایان حمله منتشر میشود، شامل یک شناسه رمزگشایی شخصی منحصر به فرد است و به قربانیان دستور میدهد از طریق اپلیکیشن پیامرسان Session برای پرداخت باج و دریافت ابزار رمزگشایی تماس بگیرند.
در نهایت، مهاجمان سایبری همچنین از رشد استفاده از ابزارهای هوش مصنوعی سود میبرند و با نصبکننده جعلی InVideo AI، یک پلتفرم ایجاد ویدیو مبتنی بر هوش مصنوعی، بدافزار مخربی به نام Numero را منتشر میکنند.
نصبکننده تقلبی به عنوان یک دراپر عمل میکند که حاوی سه جزء است: یک فایل بچ ویندوز، یک اسکریپت ویژوال بیسیک و فایل اجرایی Numero. هنگامی که نصبکننده راهاندازی میشود، فایل بچ از طریق شل ویندوز در یک حلقه بینهایت اجرا میشود که به نوبه خود Numero را اجرا کرده و سپس با اجرای اسکریپت VB از طریق cscript، آن را به مدت 60 ثانیه متوقف میکند.
Talos توضیح داد: “پس از از سرگیری اجرا، فایل بچ فرآیند بدافزار Numero را خاتمه داده و اجرای آن را مجدداً آغاز میکند. با پیادهسازی حلقه بینهایت در فایل بچ، بدافزار Numero به طور مداوم بر روی دستگاه قربانی اجرا میشود.”
Numero یک فایل اجرایی 32 بیتی ویندوز نوشته شده با ++C است که وجود ابزارهای تحلیل بدافزار و دیباگرها را در میان فرآیندهای در حال اجرا بررسی میکند و سپس عنوان، دکمهها و محتویات پنجره دسکتاپ را با رشته عددی “1234567890” بازنویسی میکند. این فایل در 24 ژانویه 2025 کامپایل شده است.
این افشاگری در حالی صورت میگیرد که Mandiant متعلق به گوگل جزئیات یک کمپین تبلیغات مخرب را فاش کرد که از تبلیغات مخرب در فیسبوک و لینکدین برای هدایت کاربران به وبسایتهای جعلی که ابزارهای تولید ویدیو هوش مصنوعی قانونی مانند Luma AI، Canva Dream Lab و Kling AI را جعل میکنند، استفاده میکند.
این فعالیت که اخیراً توسط Morphisec و Check Point نیز فاش شده، به یک خوشه تهدید نسبت داده شده که گوگل آن را با نام UNC6032 ردیابی میکند و ارزیابی میشود که ارتباطی با ویتنام دارد. این کمپین از اواسط سال 2024 فعال بوده است.
حمله به این شکل آغاز میشود: کاربران ناآگاهی که به این وبسایتها هدایت میشوند، دستور میگیرند یک دستور ورودی برای تولید ویدیو ارائه دهند. با این حال، همانطور که قبلاً مشاهده شد، ورودی اهمیتی ندارد، زیرا مسئولیت اصلی وبسایت آغاز دانلود یک بار مخرب دراپر مبتنی بر Rust به نام STARKVEIL است.
Mandiant گفت: “STARKVEIL سه خانواده بدافزار مدولار مختلف را رها میکند که عمدتاً برای سرقت اطلاعات طراحی شدهاند و قادر به دانلود پلاگینها برای گسترش عملکرد خود هستند. وجود چندین بار مخرب مشابه نشاندهنده یک مکانیسم ایمن در برابر خرابی است که به حمله اجازه میدهد حتی اگر برخی بارهای مخرب توسط دفاعهای امنیتی شناسایی یا مسدود شوند، ادامه یابد.”
سه خانواده بدافزار به شرح زیر هستند:
GRIMPULL: یک دانلودر که از تونل TOR برای دریافت بارهای مخرب NET. اضافی استفاده میکند که رمزگشایی، فشردهسازی و به عنوان اسمبلیهای NET. در حافظه بارگذاری میشوند.
FROSTRIFT: یک درب پشتی NET. که اطلاعات سیستم، جزئیات برنامههای نصب شده را جمعآوری میکند و 48 پسوند مرتبط با مدیرهای رمز عبور، احراز هویتکنندهها و کیف پولهای ارز دیجیتال را در مرورگرهای وب مبتنی بر Chromium اسکن میکند.
XWorm: یک تروجان دسترسی از راه دور (RAT) شناخته شده مبتنی بر NET. با ویژگیهایی مانند کیلاگر، اجرای دستورات، ضبط صفحه، جمعآوری اطلاعات و اطلاعرسانی به قربانی از طریق تلگرام.
STARKVEIL همچنین به عنوان کانالی برای راهاندازی یک دراپر مبتنی بر Python به نام COILHATCH عمل میکند که در واقع وظیفه اج
کلمات کلیدی : هوش مصنوعی, باج افزار, ChatGPT, بدافزار, امنیت سایبری, حملات سایبری
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.