ترکیب فیشینگ با برنامه های مخرب اندروید

ترکیب فیشینگ با برنامه‌های مخرب اندروید نمایانگر یک نوع حمله سایبری پیشرفته است که با استفاده از الگوهای هوش مصنوعی و تکنیک‌های مهندسی اجتماعی، تلاش می‌کند تا کاربران را مورد هدف قرار دهد.

اهداف این کمپین شامل کاربران موسسات مالی اسپانیا و همچنین خدمات مالیاتی و دولتی، تجارت الکترونیک، بانک‌ها و صرافی‌های ارز دیجیتال در ایالات متحده، بریتانیا، اسلواکی و برزیل می‌شود. تاکنون ۲۸۸ دامنه فیشینگ مرتبط با این فعالیت شناسایی شده است.

همچنین بخشی از خدمات ارائه ‌شده شامل فروش اطلاعات بانکی سرقت‌ شده و برنامه‌های سفارشی برای سایر گروه‌های سایبری است که کسب ‌و کارهای بانکی، مالی و ارز دیجیتال را هدف قرار می‌دهند.

روش جدید حملات فیشینگ با استفاده از اپلیکیشن‌های مخرب اندرویدی

محققان امنیتی اعلام کردند گروه GXC Team برخلاف توسعه‌ دهندگان فیشینگ معمولی، کیت‌های فیشینگ را با بدافزار سرقت کدهای یک‌ بار مصرف (OTP) از طریق پیامک ترکیب کرده و سناریوی حمله فیشینگ معمولی را به شکل جدیدی تغییر داده اند.

نکته قابل توجه این است که به جای استفاده مستقیم از یک صفحه جعلی برای به دست آوردن اطلاعات کاربری، مهاجمان قربانیان را تشویق می‌کنند تا یک اپلیکیشن بانکی اندرویدی را برای جلوگیری از حملات فیشینگ دانلود کنند. این صفحات از طریق حملات فیشینگ از طریق پیامک و روش‌های دیگر توزیع می‌شوند.

پس از نصب، اپلیکیشن درخواست می‌کند تا به عنوان اپلیکیشن پیش‌ فرض پیامک تنظیم شود. این امر امکان دسترسی به کدهای یک ‌بار مصرف (OTP) و سایر پیام‌ها را فراهم کرده و آن‌ها را به یک ربات تلگرام تحت کنترل مهاجمان ارسال می‌کند.

در مرحله نهایی، اپلیکیشن وب ‌سایت واقعی بانک را در WebView باز کرده و به کاربران اجازه می‌دهد تا به صورت عادی با آن تعامل داشته باشند. پس از آن، هرگاه مهاجم درخواست کد OTP را فعال کند، بدافزار اندرویدی به صورت مخفیانه پیام‌های SMS حاوی کدهای OTP را دریافت کرده و به چت تلگرام تحت کنترل مهاجم ارسال می‌کند.

مطالب مرتبط :  بزرگترین نفوذهای داده‌ای در ۲۰۲۴ – یک میلیارد رکورد دزدیده‌ شده و در حال افزایش است. 

استفاده از هوش مصنوعی برای حملات پیشرفته فیشینگ و سرقت اطلاعات

یکی دیگر از خدمات مرتبط با حملات سایبری مبتنی بر هوش مصنوعی، ابزارهای تماس صوتی مبتنی بر هوش مصنوعی است که به مشتریان آن‌ها اجازه می‌دهد بر اساس مجموعه‌ای از دستورات مستقیم از کیت فیشینگ، تماس‌های صوتی را ایجاد کنند.

این تماس‌ها معمولاً به گونه‌ای طراحی شده‌اند که به نظر برسد از سوی یک بانک انجام می‌شوند و از قربانیان می‌خواهند کدهای احراز هویت دو مرحله‌ای (2FA) خود را وارد کنند، اپلیکیشن‌های مخرب را نصب کنند، یا اقدامات دیگری انجام دهند.

استفاده از این مکانیسم ساده اما مؤثر، سناریوی کلاهبرداری را برای قربانیان بسیار قانع‌ کننده‌تر می‌کند و نشان می‌دهد که چگونه ابزارهای هوش مصنوعی به سرعت و به سادگی توسط مجرمان در طرح‌هایشان به کار گرفته می‌شوند . با بهره گیری از حملات سایبری مبتنی بر هوش مصنوعی، سناریوهای کلاهبرداری سنتی به روش‌های جدید و پیچیده‌تر تبدیل می شود.

در گزارش اخیر شرکت Mandiant که زیرمجموعه گوگل است، فاش شد که چگونه تقلید صدای انسان با استفاده از هوش مصنوعی می‌تواند با دقت شگفت‌ انگیز انجام شود. به این ترتیب حملات فیشینگ صوتی (vishing) که واقعی‌تر به نظر می رسند.

شرکت Mandiant اعلام کرد: “مجرمان سایبری می‌توانند از طریق تقلید صدای مدیران، همکاران یا حتی کارکنان پشتیبانی IT، قربانیان را فریب داده و به آن‌ها دسترسی از راه دور به سیستم‌ها را بدهند یا وجوهی را منتقل کنند و یا اطلاعات محرمانه را فاش کنند.”

ترکیب فیشینگ با برنامه‌های مخرب اندروید که دارای قابلیت‌های حمله “مهاجم در میانه” (AiTM) هستند، به دلیل کاهش نیاز به مهارت‌های فنی برای اجرای حملات فیشینگ در مقیاس بزرگ، به طور فزاینده‌ای محبوب شده‌اند.

محقق امنیتی mr.d0x در گزارشی که ماه گذشته منتشر شد، اعلام کرد که مهاجمان می‌توانند از اپلیکیشن‌های وب پیشرفته (PWAs) برای طراحی صفحات ورود متقاعد کننده استفاده کنند و با دستکاری عناصر رابط کاربری، نوار URL جعلی را نمایش دهند.

علاوه بر این، کیت‌های فیشینگ AiTM می‌توانند برای نفوذ به حساب‌های کاربری که با کلیدهای عبور محافظت شده‌اند، استفاده شوند. این کار از طریق حمله‌ای به نام “حذف روش احراز هویت” انجام می‌شود .

شرکت امنیت سایبری eSentire اعلام کرد: “مهاجم می‌تواند نمایشی که به کاربر ارائه می‌شود را با تغییر HTML، CSS، تصاویر یا جاوا اسکریپت در صفحه ورود دستکاری کند. بنابراین آن‌ها می‌توانند جریان احراز هویت را کنترل کرده و تمام ارجاعات به احراز هویت با کلید عبور را حذف کنند.”

این افشاگری در حالی صورت می‌گیرد که اخیراً حملات فیشینگ با استفاده از URLهای رمزگذاری ‌شده با ابزارهای امنیتی مانند Secure Email Gateways (SEGs) در تلاش برای مخفی کردن لینک‌های فیشینگ و دور زدن اسکن‌ها، افزایش یافته است.

طبق گزارش Barracuda Networks و Cofense، حملات مهندسی اجتماعی نیز مشاهده شده‌اند. در این حملات کاربران به روش‌های غیر معمولی مانند وارد کردن دستی و اجرای کدهای رمزگذاری‌ شده در یک ترمینال PowerShell ، تحت پوشش رفع مشکلات نمایش محتوا در یک مرورگر وب، فریب داده می‌شوند.

به گفته محققان، مهاجمان با جاسازی اسکریپت‌های رمزگذاری ‌شده Base64 در پیام‌های خطای به ظاهر مشروع، مهاجمان کاربران را فریب می‌دهند تا مجموعه‌ای از اقدامات را انجام دهند که منجر به اجرای فرمان‌های مخرب PowerShell می‌شود.

این دستورات معمولاً بارگذاری شده و اجرای payloadهایی مانند فایل‌های HTA را از سرورهای راه دور انجام داده و بدافزارهایی مانند DarkGate و Lumma Stealer را مستقر می‌کنند.

با توجه به پیشرفت سریع در فناوری‌های هوش مصنوعی، تهدیدات سایبری نیز به طور مداوم در حال تغییر و پیچیده‌تر شدن هستند. بنابراین، مقابله با این نوع حملات نیاز به راهکارهای امنیتی پیشرفته و همچنین آموزش و آگاهی‌سازی کاربران دارد.