امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۱۹ آبان ۱۴۰۴

🕒 زمان مطالعه: حدود ۲۰ دقیقه

وقتی به امنیت سایبری فکر می‌کنید، احتمالاً تصاویری از هکرهای کلاه‌پوش در اتاق‌های تاریک به ذهنتان می‌آید که کدهای پیچیده را روی چندین مانیتور تایپ می‌کنند. اما واقعیت دنیای امنیت سایبری اغلب ظریف‌تر، هوشمندانه‌تر و گاهی بسیار عجیب‌تر از آن چیزی است که در فیلم‌ها می‌بینیم. مهاجمان امروز بیش از آنکه به دنبال شکستن قفل‌های دیجیتال باشند، به دنبال یافتن کلیدهای فراموش‌شده یا فریب دادن ما برای باز کردن درها هستند. این مقاله ۱۰ حقیقت شگفت‌انگیز و تأثیرگذار را از جدیدترین گزارش‌ها و تحقیقات امنیتی برای شما فاش می‌کند؛ حقایقی که نشان می‌دهند میدان نبرد دیجیتال چقدر تغییر کرده است.

آنچه در این مطلب می‌خوانید

۱. مهندسی اجتماعی به سبک هالیوود: وقتی خودتان هکر سیستم خودتان می‌شوید – تکنیک ClickFix

حملات مهندسی اجتماعی دیگر به ایمیل‌های فیشینگ ساده با غلط‌های املایی محدود نمی‌شوند. مهاجمان امروزی روانشناسان ماهری هستند که با طراحی سناریوهای پیچیده، قربانی را به یک شرکت‌کننده فعال در حمله تبدیل می‌کنند. آن‌ها به جای تلاش برای نفوذ مخفیانه، شما را متقاعد می‌کنند که با دستان خودتان در را برایشان باز کنید.

یک نمونه برجسته از این روش، تکنیکی به نام “ClickFix” است که اخیراً برای هدف قرار دادن کاربران macOS تکامل یافته است. این حمله چند مرحله‌ای، هوش و صبر مهاجمان را به نمایش می‌گذارد:

  1. نمایش یک خطای جعلی و بسیار معتبر: ابتدا یک پنجره پاپ‌آپ ظاهر می‌شود که کاملاً شبیه به یک صفحه تأیید هویت از سرویس‌های معتبری مانند Cloudflare است. این پیام به شما می‌گوید که یک مشکل امنیتی یا خطایی در سیستم رخ داده است.
  2. ارائه راه‌حل فریبنده: برای «رفع» این مشکل، از شما خواسته می‌شود روی یک دکمه کلیک کنید. با کلیک شما، یک دستور مخرب بدون آنکه متوجه شوید در کلیپ‌بورد (حافظه موقت) کامپیوترتان کپی می‌شود.
  3. آموزش گام‌به‌گام برای اجرای دستور: سپس، صفحه دستورالعمل‌های واضح و دقیقی را به شما نشان می‌دهد. این دستورالعمل‌ها که اغلب با یک ویدیوی آموزشی و یک تایمر شمارش معکوس برای ایجاد حس فوریت همراه هستند، از شما می‌خواهند که برنامه Terminal را باز کنید، دستور کپی‌شده را paste کرده و آن را اجرا کنید.

تأثیر استراتژیک این تکنیک ویرانگر است. از آنجایی که کاربر شخصاً کد مخرب را اجرا می‌کند، بسیاری از آنتی‌ویروس‌ها و سیستم‌های امنیتی Endpoint این عمل را یک فعالیت مجاز تلقی کرده و آن را نادیده می‌گیرند. همانطور که گزارش‌های اخیر شرکت‌های امنیتی مانند CrowdStrike و Push Security (به نقل از SecurityWeek) نشان می‌دهند، این روش‌ها مرز بین مهاجم و قربانی را کمرنگ کرده‌اند.

“بذار خلاصه بگم 👇”

هکرها اکنون راهنماهای دقیق و قابل اعتمادی همراه با ویدیو طراحی می‌کنند تا شما را فریب دهند که بدافزار را با دستان خودتان روی کامپیوترتان اجرا کنید. این کار، وظیفه آن‌ها را بسیار آسان‌تر می‌کند.

۲. ساعت هوشمند شما یک جاسوس است: نشت اطلاعات از طریق امواج صوتی نامرئی – حمله SmartAttack

سیستم‌های “Air-Gapped” یا «ایزوله از شبکه»، امن‌ترین کامپیوترهای جهان محسوب می‌شوند. این سیستم‌ها به طور فیزیکی از اینترنت و هرگونه شبکه خارجی جدا شده‌اند و در مراکز حساس نظامی، دولتی و صنعتی برای محافظت از اطلاعات فوق‌سری به کار می‌روند. اما تحقیقات جدید نشان می‌دهد که حتی این قلعه‌های دیجیتال نیز نفوذپذیرند.

در یک مقاله تحقیقاتی، روشی به نام “SmartAttack” معرفی شده است که از ساعت هوشمند شما به عنوان یک پل جاسوسی استفاده می‌کند. مراحل این حمله به شرح زیر است:

  1. یک بدافزار که قبلاً روی کامپیوتر ایزوله نصب شده، داده‌های حساس (مانند رمزهای عبور یا کلیدهای تایپ‌شده) را جمع‌آوری می‌کند.
  2. بدافزار این داده‌ها را به سیگنال‌های صوتی فراصوت (Ultrasonic) در فرکانس غیرقابل شنیدن ۱۸ تا ۲۲ کیلوهرتز تبدیل می‌کند.
  3. سپس، بلندگوهای خود کامپیوتر این پیام صوتی خاموش را در محیط پخش می‌کنند.
  4. یک ساعت هوشمند آلوده که روی مچ دست فردی در همان نزدیکی قرار دارد، با استفاده از میکروفون داخلی خود این امواج فراصوت را دریافت می‌کند.
  5. ساعت داده‌ها را رمزگشایی کرده و از طریق اتصال Wi-Fi یا شبکه تلفن همراه خود، آن‌ها را برای مهاجم ارسال می‌کند.

بر اساس یافته‌های این تحقیق، این حمله در دنیای واقعی کاملاً امکان‌پذیر است و می‌تواند از فاصله بیش از ۶ متری با سرعت انتقال داده تا ۵۰ بیت بر ثانیه کار کند. این روش نشان می‌دهد که چگونه دستگاه‌های پوشیدنی ما می‌توانند به طور ناخواسته به ابزاری برای نشت اطلاعات از امن‌ترین محیط‌ها تبدیل شوند و این زنگ خطری جدی برای امنیت فیزیکی و دیجیتال است.

“بذار خلاصه بگم 👇”

حتی کامپیوترهای کاملاً آفلاین هم می‌توانند هک شوند. بدافزارها می‌توانند داده‌ها را به صداهای فراصوت و غیرقابل شنیدن تبدیل کنند که ساعت هوشمند شما آن‌ها را شنیده و به اینترنت منتقل می‌کند.

۳. چت‌های رمزگذاری‌شده شما با هوش مصنوعی آنقدرها هم خصوصی نیستند – حمله Whisper Leak – جاسوسی از چت‌بات

وقتی از پیام‌رسان‌ها یا چت‌بات‌های مجهز به رمزگذاری سرتاسری مانند TLS استفاده می‌کنیم، حس امنیت بالایی داریم. این رمزگذاری‌ها بسیار قوی هستند، اما همه‌چیز را پنهان نمی‌کنند. حتی زمانی که محتوای مکالمه شما کاملاً مخفی است، فراداده‌ها (Metadata) می‌توانند داستان‌های زیادی برای گفتن داشته باشند.

محققان مایکروسافت اخیراً یک حمله کانال جانبی (Side-Channel Attack) به نام “Whisper Leak” را کشف کرده‌اند. این حمله رمزگذاری را نمی‌شکند، بلکه از یک ویژگی ذاتی در نحوه عملکرد چت‌بات‌های هوش مصنوعی سوءاستفاده می‌کند. سازوکار آن به این صورت است:

مدل‌های هوش مصنوعی پاسخ‌ها را به صورت جریانی (Streaming) و توکن به توکن ارسال می‌کنند. این یعنی به جای ارسال یک پاسخ کامل و یکجا، کلمات یا بخش‌های کوچکی از متن پشت سر هم فرستاده می‌شوند. هر یک از این بخش‌ها در یک بسته داده رمزگذاری‌شده قرار می‌گیرد. حمله “Whisper Leak” نشان می‌دهد که اندازه و زمان‌بندی ارسال این بسته‌های رمزگذاری‌شده، یک «اثر انگشت دیجیتال» منحصربه‌فرد ایجاد می‌کند.

یک مهاجم که ترافیک شبکه را زیر نظر دارد (مثلاً یک آژانس دولتی یا یک هکر در شبکه Wi-Fi محلی)، می‌تواند با تحلیل این الگوها، موضوع کلی مکالمه شما را با دقت بالایی حدس بزند. به گزارش GBHackers.com، این حمله می‌تواند تشخیص دهد که آیا کاربری در حال صحبت درباره موضوعات حساسی مانند مخالفت‌های سیاسی است یا خیر، حتی اگر محتوای دقیق پیام‌ها کاملاً رمزگذاری شده باشد. برای مقابله با این تهدید، ارائه‌دهندگانی مانند OpenAI اکنون با افزودن متن‌های «پوششی» تصادفی به هر بسته داده، این الگوها را مخدوش می‌کنند تا اندازه واقعی آن‌ها پنهان بماند.

“بذار خلاصه بگم 👇”

حتی اگر چت شما با هوش مصنوعی رمزگذاری شده باشد، هکرها می‌توانند با تحلیل اندازه بسته‌های داده، موضوع صحبت شما را حدس بزنند؛ درست مانند اینکه محتویات یک جعبه کادو را از روی شکل و وزن آن حدس بزنید.

۴. بزرگترین تهدید امنیتی، هک کردن نیست؛ وارد شدن با نام کاربری است! – مدیریت مسیر حمله

تصور عمومی از هک، شکستن کدهای پیچیده و یافتن حفره‌های امنیتی ناشناخته است. اما واقعیت این است که رایج‌ترین مسیر نفوذ برای مهاجمان، استفاده از دسترسی‌های کاملاً قانونی و موجود است. آن‌ها به جای تخریب دیوارها، به دنبال کلیدهایی می‌گردند که به اشتباه چندین در را باز می‌کنند.

مفهومی به نام مدیریت مسیر حمله (Attack Path Management)، که توسط شرکت SpecterOps و ابزار معروف BloodHound ترویج شده، دقیقاً به همین موضوع می‌پردازد. مهاجمان اغلب با استفاده از تکنیک “زندگی در سرزمین” (Living off the Land)، از یک حساب کاربری سطح پایین شروع کرده و با زنجیر کردن مجوزهای اشتباه پیکربندی‌شده، خود را به اهداف باارزش مانند مدیران دامنه (Domain Admins) می‌رسانند.

یک نمونه کلاسیک، حملات رله NTLM است. NTLM یک پروتکل احراز هویت بسیار قدیمی (ساخت ۱۹۹۳) است که هنوز به طور گسترده استفاده می‌شود و به گفته محققان SpecterOps، وضعیت آن «از همیشه بدتر شده است». مهاجمان با استفاده از تکنیک‌های اجبار (Coercion) مانند Printer Bug یا PetitPotam، یک کامپیوتر را وادار می‌کنند تا اطلاعات کاربری خود را ارسال کند. سپس این اطلاعات را «رله» کرده و از آن برای به دست آوردن کنترل سیستم‌های دیگر استفاده می‌کنند.

آمار ارائه‌شده توسط BloodHound Enterprise تکان‌دهنده است: مسدود کردن تنها یک «نقطه گلوگاهی» (Choke Point) می‌تواند به طور متوسط بیش از ۱۷,۰۰۰ مسیر حمله را از بین ببرد. مشتریان این پلتفرم در ۳۰ روز اول استفاده، به طور میانگین ۳۵٪ کاهش ریسک را تجربه می‌کنند. این آمار نشان می‌دهد که بزرگترین ضعف بسیاری از سازمان‌ها، نه کمبود دیوارهای دفاعی، بلکه شبکه‌ای از درهای باز در داخل است.

“بذار خلاصه بگم 👇”

بیشتر شبکه‌ها شبیه ساختمانی هستند که در آن یک کلید به اشتباه صدها در را باز می‌کند. هکرها نیازی به شکستن پنجره ندارند؛ آن‌ها فقط آن یک کلید را پیدا کرده و به راحتی وارد می‌شوند.

۵. دنیای دیجیتال و فیزیکی به هم رسیده‌اند: جاسوسی از لینکدین برای نفوذ به ساختمان – امنیت فیزیکی و سایبری – هک MGM

امنیت فیزیکی و امنیت سایبری دیگر دو حوزه مجزا نیستند. امروزه، اطلاعاتی که به صورت آنلاین جمع‌آوری می‌شود، به اصلی‌ترین ابزار برای نفوذ فیزیکی به ساختمان‌ها و دفاتر کار تبدیل شده است. مهاجمان قبل از اینکه حتی به نزدیکی ساختمان شما بیایند، از طریق اینترنت شما را کاملاً شناسایی کرده‌اند.

دو مثال واقعی این همگرایی خطرناک را به خوبی نشان می‌دهند:

  1. هک بزرگ شرکت MGM: بر اساس توییتی که توسط vx-underground منتشر شد، مهاجمان برای نفوذ به این غول صنعت سرگرمی، کار بسیار ساده‌ای انجام دادند. آن‌ها یک کارمند را در لینکدین پیدا کردند و سپس با میز کمک (Help Desk) شرکت تماس گرفته و با جعل هویت، به سیستم‌ها دسترسی پیدا کردند. در این توییت به درستی اشاره شده است: “یک شرکت با ارزش ۳۳.۹ میلیارد دلار، با یک مکالمه ۱۰ دقیقه‌ای شکست خورد.”
  2. نفوذ تیم قرمز با جعل هویت کارمند جدید: در یک مطالعه موردی که توسط وبلاگ Bluefire Redteam منتشر شد، یک تیم امنیت فیزیکی (Red Team) سناریوی زیر را اجرا کرد:
    • آن‌ها یک کارمند جدید را که به تازگی در لینکدین استخدامش را اعلام کرده بود، شناسایی کردند.
    • با جستجو در شبکه‌های اجتماعی، عکس‌هایی از کارت‌های شناسایی کارمندان شرکت را پیدا کردند تا با طراحی آن آشنا شوند.
    • با زیر نظر گرفتن ساختمان، روال ورود کارمندان جدید در روز اول را مشاهده کردند.
    • در نهایت، یکی از اعضای تیم با جعل هویت همان کارمند جدید، با اعتماد به نفس وارد لابی شد و به راحتی از کنار نگهبان عبور کرد.

درس اصلی این است که شرکت‌ها از طریق شبکه‌های اجتماعی، آگهی‌های شغلی و پروفایل‌های کارمندان، حجم عظیمی از اطلاعات عملیاتی خود را به بیرون درز می‌دهند. این اطلاعات یک “سطح شناسایی” (Reconnaissance Surface) ایجاد می‌کند که مهاجمان از آن برای دور زدن کنترل‌های امنیتی فیزیکی بهره می‌برند.

“بذار خلاصه بگم 👇”

هکرها از اطلاعاتی که شما و شرکتتان در لینکدین و شبکه‌های اجتماعی منتشر می‌کنید، استفاده می‌کنند تا دقیقاً یاد بگیرند چگونه با نگهبانان امنیتی صحبت کرده و به راحتی وارد دفتر کار شما شوند.

۶. مرورگر وب شما، میدان اصلی نبرد است – آسیب‌پذیری WebGPU – آسیب‌پذیری CVE-2025-12725

مرورگر وب از یک ابزار ساده برای مشاهده صفحات اینترنتی به سیستم‌عامل اصلی زندگی دیجیتال ما تبدیل شده است. ما از آن برای کار، ارتباط، خرید و سرگرمی استفاده می‌کنیم. همین مرکزیت، آن را به آسیب‌پذیرترین نقطه در زنجیره امنیت ما تبدیل کرده است.

به گفته Gene Moody، مدیر ارشد فناوری در شرکت Action1: “مرورگرها بی‌سروصدا به بزرگترین سطح حمله در تقریباً هر سازمانی تبدیل شده‌اند.”

گزارش SecurityWeek درباره به‌روزرسانی کروم ۱۴۲، دلیل این امر را به خوبی توضیح می‌دهد. کاربران ده‌ها تب را به طور همزمان باز نگه می‌دارند که هرکدام شامل اسکریپت‌های فعال و عناصر پویا هستند. این وضعیت، مرورگر را به یک محیط هدف زنده و دائماً در حال تغییر تبدیل می‌کند. با پیچیده‌تر شدن فناوری‌های وب، مانند هوش مصنوعی و گرافیک‌های پیشرفته، نقاط ضعف جدیدی نیز ظاهر می‌شوند.

برای مثال، یکی از آسیب‌پذیری‌های بسیار خطرناک اخیر، CVE-2025-12725، یک نقص اجرای کد از راه دور (RCE) در WebGPU بود. WebGPU یک API گرافیکی است که به وب‌سایت‌ها اجازه می‌دهد از قدرت پردازنده گرافیکی (GPU) سیستم شما استفاده کنند. این آسیب‌پذیری به این معناست که یک وب‌سایت مخرب می‌توانست تنها با استفاده از قابلیت‌های گرافیکی مرورگر، کنترل کامل کامپیوتر شما را به دست بگیرد. این نشان می‌دهد که حتی بخش‌هایی از مرورگر که به نظر بی‌خطر می‌آیند، می‌توانند به دروازه‌ای برای نفوذ هکرها تبدیل شوند. به همین دلیل، به‌روزرسانی‌های مرورگر بسیار مکرر و حیاتی هستند.

“بذار خلاصه بگم 👇”

مرورگر وب شما آسیب‌پذیرترین بخش کامپیوترتان است و با هر ویژگی جدیدی مانند هوش مصنوعی تحت وب، هکرها درهای تازه‌ای برای نفوذ پیدا می‌کنند.

۷. توسعه‌دهندگان نرم‌افزار، هدف جدید حملات زنجیره تأمین – آسیب‌پذیری React Native – آسیب‌پذیری CVE-2025-11953

ریسک زنجیره تأمین نرم‌افزار به خطری گفته می‌شود که در ابزارها، کتابخانه‌ها و کدهای آماده‌ای که توسعه‌دهندگان برای ساخت برنامه‌ها استفاده می‌کنند، پنهان شده است. به جای حمله مستقیم به یک شرکت بزرگ، مهاجمان به یکی از ابزارهای کوچک و پرکاربردی که هزاران توسعه‌دهنده به آن اعتماد دارند، نفوذ می‌کنند.

یک نمونه بسیار خطرناک که اخیراً توسط محققان امنیتی JFrog کشف و در The Hacker News گزارش شد، آسیب‌پذیری CVE-2025-11953 در بسته npm به نام @react-native-community/cli بود. این ابزار یکی از اجزای اصلی برای ساخت اپلیکیشن‌های موبایل با فریم‌ورک React Native است.

مقیاس این مشکل بسیار بزرگ است: این بسته هفته‌ای ۱.۵ تا ۲ میلیون بار دانلود می‌شود. آسیب‌پذیری کشف‌شده دارای امتیاز CVSS ۹.۸ از ۱۰ (بحرانی) بود و به یک مهاجم غیرمجاز اجازه می‌داد تا از راه دور هر دستوری را روی کامپیوتر توسعه‌دهنده اجرا کند. دلیل این نقص، یک سرور توسعه (Development Server) بود که به طور پیش‌فرض و به شکلی ناامن، در معرض شبکه قرار می‌گرفت.

مفهوم گسترده‌تر این است که با به خطر انداختن کامپیوتر تنها یک توسعه‌دهنده، مهاجم می‌تواند به کد منبع، کلیدهای دسترسی (Credentials) و در نهایت به کل زیرساخت یک شرکت دسترسی پیدا کند. این حملات نشان می‌دهند که در دنیای مدرن نرم‌افزار، امنیت یک زنجیره است و ضعیف‌ترین حلقه آن می‌تواند یک ابزار برنامه‌نویسی کوچک اما پرکاربرد باشد.

“بذار خلاصه بگم 👇”

یک نقص کوچک در یک ابزار کدنویسی محبوب می‌تواند به هکرها یک در پشتی به کامپیوتر میلیون‌ها توسعه‌دهنده و از آنجا به شرکت‌هایی که در آن کار می‌کنند، بدهد.

۸. هوش مصنوعی: دستیار جدید کارشناسان امنیت سایبری – Burp Suite AI

در حالی که بسیاری از تیترها بر استفاده مهاجمان از هوش مصنوعی تمرکز دارند، واقعیت این است که این فناوری در حال تبدیل شدن به یکی از قدرتمندترین ابزارها برای مدافعان است. هوش مصنوعی دیگر یک مفهوم آینده‌نگرانه نیست، بلکه یک دستیار عملی و کارآمد برای متخصصان امنیت سایبری است.

شرکت PortSwigger، سازنده ابزار محبوب تست نفوذ وب Burp Suite، قابلیت‌های هوش مصنوعی را به شکلی هوشمندانه در محصول خود ادغام کرده است. این قابلیت‌ها به جای جایگزینی انسان، به او قدرت بیشتری می‌بخشند:

  • Explore Issue (کاوش آسیب‌پذیری): وقتی اسکنر Burp یک آسیب‌پذیری بالقوه را پیدا می‌کند، هوش مصنوعی به طور خودکار آن را مانند یک متخصص تست نفوذ انسانی بررسی می‌کند. این دستیار هوشمند تلاش می‌کند تا راه‌های بهره‌برداری از آسیب‌پذیری را پیدا کرده و تأثیر واقعی آن را نشان دهد.
  • Explainer (توضیح‌دهنده): یک تحلیلگر امنیتی ممکن است با یک قطعه کد، یک هدر HTTP عجیب یا یک تابع جاوا اسکریپت ناآشنا روبرو شود. با قابلیت Explainer، او می‌تواند آن بخش را انتخاب کرده و هوش مصنوعی فوراً توضیح می‌دهد که آن چیست و چه پیامدهای امنیتی بالقوه‌ای می‌تواند داشته باشد؛ همه اینها بدون خروج از ابزار.
  • کاربردهای دیگر: هوش مصنوعی همچنین در کاهش هشدارهای نادرست (False Positives) و تولید خودکار توالی‌های ورود به سیستم (Login Sequences) به کار می‌رود.

تأثیر این فناوری بسیار زیاد است: هوش مصنوعی کار تسترهای امنیتی و شکارچیان باگ (Bug Bounty Hunters) را ساده‌تر و سریع‌تر می‌کند و به آن‌ها اجازه می‌دهد آسیب‌پذیری‌ها را با کارایی بیشتری پیدا و رفع کنند.

“بذار خلاصه بگم 👇”

متخصصان امنیت اکنون یک دستیار هوش مصنوعی دارند که می‌تواند فوراً کدهای پیچیده را توضیح دهد و حتی به آن‌ها در پیدا کردن سریع‌تر حفره‌های امنیتی کمک کند. این فناوری در حال تغییر شیوه کار آنهاست.

۹. جاسوس‌افزار روز-صفر روی گوشی شما: وقتی یک عکس شما را هک می‌کند – جاسوس‌افزار LANDFALL – حمله Zero-day سامسونگ با عکس DNG

آسیب‌پذیری‌های “روز-صفر” (Zero-day) نقص‌هایی هستند که حتی سازنده محصول نیز از وجود آن‌ها بی‌خبر است. این ویژگی آن‌ها را به سلاح‌هایی بسیار ارزشمند برای مهاجمان، به‌ویژه گروه‌های تحت حمایت دولت‌ها، تبدیل می‌کند. اخیراً، یک کمپین جاسوسی پیشرفته دقیقاً از چنین سلاحی برای نفوذ به گوشی‌های هوشمند استفاده کرده است.

تیم تحقیقاتی Palo Alto Networks Unit 42، یک کمپین جاسوس‌افزاری به نام “LANDFALL” را تحلیل کرده که کاربران گوشی‌های سامسونگ را هدف قرار داده است. زنجیره حمله این کمپین به شرح زیر است:

  1. استفاده از یک آسیب‌پذیری روز-صفر: مهاجمان از یک نقص ناشناخته (با شناسه CVE-2025-21042) در یکی از کتابخانه‌های اصلی پردازش تصویر در گوشی‌های سامسونگ استفاده کردند.
  2. تحویل از طریق یک فایل عکس مخرب: این اکسپلویت در یک فایل عکس با فرمت DNG پنهان شده بود. گزارش‌ها حاکی از آن است که این فایل‌های مخرب احتمالاً از طریق واتس‌اپ برای قربانیان ارسال شده‌اند.
  3. نصب جاسوس‌افزار جامع: پس از باز شدن یا پردازش تصویر، جاسوس‌افزار روی دستگاه نصب می‌شد. این جاسوس‌افزار قادر بود طیف وسیعی از اطلاعات حساس را جمع‌آوری کند، از جمله: ضبط صدای میکروفون، موقعیت مکانی، عکس‌ها، مخاطبین، تاریخچه تماس‌ها و موارد دیگر.

این حمله بسیار هدفمند بوده و قربانیان احتمالی آن در خاورمیانه قرار داشتند. همچنین، این کمپین به طور خاص مدل‌های رده‌بالای سامسونگ را هدف قرار داده بود. این مورد نشان می‌دهد که حتی دستگاه‌های پیشرفته نیز در برابر حملات روز-صفر آسیب‌پذیر هستند و گاهی یک فایل به ظاهر بی‌خطر می‌تواند به ابزاری برای جاسوسی کامل تبدیل شود.

“بذار خلاصه بگم 👇”

هکرها با استفاده از یک باگ ناشناخته در گوشی‌های سامسونگ، جاسوس‌افزار را درون یک فایل عکس مخفی کرده و از طریق واتس‌اپ ارسال کردند. این کار به آن‌ها اجازه داد کنترل کامل گوشی را در دست بگیرند.

۱۰. XSS کور: معدن طلای هکرهای صبور – Blind XSS

در دنیای هک، برخی حملات مانند یک انفجار فوری هستند، در حالی که برخی دیگر شبیه به کاشتن یک مین و انتظار صبورانه برای انفجار آن عمل می‌کنند. آسیب‌پذیری “Blind XSS” (Cross-Site Scripting کور) از نوع دوم است و یکی از سودآورترین روش‌ها برای شکارچیان باگ محسوب می‌شود.

بر اساس مقاله‌ای در وبلاگ Bugcrowd، تفاوت کلیدی این نوع XSS در اجرای تأخیری و «کور» آن است:

  1. تزریق خاموش: یک مهاجم یک اسکریپت مخرب را در فیلدی وارد می‌کند که محتوای آن بلافاصله نمایش داده نمی‌شود. این فیلد می‌تواند یک فرم بازخورد مشتری، یک ورودی در لاگ‌های سیستم یا تنظیمات پروفایل کاربری باشد.
  2. دوره نهفتگی: این کد مخرب (Payload) به صورت غیرفعال در پایگاه داده باقی می‌ماند، گاهی برای هفته‌ها یا حتی ماه‌ها.
  3. اجرای نهایی: سرانجام، زمانی که یک کاربر با دسترسی بالا (مانند یک کارمند پشتیبانی مشتری یا مدیر سیستم) داده‌های ثبت‌شده را در یک پنل داخلی و امن مشاهده می‌کند، اسکریپت اجرا می‌شود.

دلیل ارزش بسیار بالای این نوع آسیب‌پذیری—که جوایز آن به گفته مقاله می‌تواند از ۲۵۰,۰۰۰ دلار فراتر رود—این است که به مهاجم اجازه می‌دهد به سیستم‌های داخلی با دسترسی‌های بسیار بالا نفوذ کند؛ سیستم‌هایی که در حالت عادی کاملاً از دسترس خارجی‌ها به دور هستند. تکنیک‌های مدرن‌تر به جای استفاده از alert() کلاسیک، از پی‌لودهای import() برای دریافت بازخورد (Callback) مطمئن‌تر استفاده می‌کنند و به هکر اطلاع می‌دهند که مین دیجیتال آن‌ها بالاخره منفجر شده است.

“بذار خلاصه بگم 👇”

برخی هکرها یک «مین دیجیتال» را در فرم بازخورد یک وب‌سایت می‌کارند و ماه‌ها صبورانه منتظر می‌مانند تا یک مدیر به آن برخورد کند. این کار به هکر اجازه می‌دهد به سیستم‌های داخلی و مخفی شرکت دسترسی پیدا کند.

جمع‌بندی

همانطور که دیدیم، چشم‌انداز امنیت سایبری به طور مداوم و به شیوه‌هایی غیرمنتظره در حال تغییر است. از فریب کاربران برای هک کردن سیستم خودشان گرفته تا نشت اطلاعات از طریق امواج صوتی نامرئی، مهاجمان همیشه یک قدم جلوتر از تصورات ما حرکت می‌کنند.

“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec

نوشته‌ای مرتبط

آنچه در این مطلب می‌خوانید

فهرست مطالب