امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۲۶ آذر ۱۴۰۴

🕒 زمان مطالعه: حدود ۲۰ دقیقه

در چشم‌انداز امنیت سایبری امروز، شاهد موجی بی‌وقفه از تهدیدات پیچیده هستیم که هم سازمان‌ها و هم کاربران عادی را به چالش می‌کشد. مهاجمان با بهره‌گیری از آسیب‌پذیری‌های کشف‌نشده در پلتفرم‌های بزرگ، حملات خود را با سرعتی هشداردهنده آغاز می‌کنند. در همین حال، گروه‌های جاسوسی دولتی با اهداف استراتژیک بلندمدت، عملیات‌های پنهانی خود را علیه اهداف حساس ادامه می‌دهند و مجرمان سایبری نیز با توسعه ابزارهای مخرب و بات‌نت‌های عظیم، زیرساخت‌های دیجیتال را در مقیاس گسترده تهدید می‌کنند.

۱. آسیب‌پذیری React2Shell: بهره‌برداری‌ها به رکوردی بی‌سابقه رسیده‌اند

آسیب‌پذیری React2Shell همچنان یک تهدید بحرانی است و مهاجمان در تمام سطوح—از مجرمان سایبری گرفته تا بازیگران دولتی—به طور فعال از آن بهره‌برداری می‌کنند. اهمیت استراتژیک این آسیب‌پذیری در تأثیر گسترده آن بر زیرساخت‌های اصلی اینترنت نهفته است، که آن را به ابزاری قدرتمند برای نفوذ اولیه تبدیل کرده است.

رکوردشکنی CVE-2025-55182: انفجار اکسپلویت‌های عمومی React2Shell تهدیدی همگانی ایجاد کرده است

محققان در VulnCheck تأیید کرده‌اند که نزدیک به ۲۰۰ اکسپلویت عمومی معتبر برای React2Shell (ری-اَکت-تو-شِل) منتشر شده است که بالاترین تعداد ثبت شده برای هر CVE در تاریخ است. طبق گزارش GreyNoise، تلاش‌ها برای بهره‌برداری از این آسیب‌پذیری هر روز به رکوردهای جدیدی دست می‌یابد.

این موضوع چرا اهمیت دارد؟

تعداد زیاد اکسپلویت‌های عمومی به شدت مانع ورود را برای مهاجمان کاهش می‌دهد و به بازیگران با مهارت کمتر نیز اجازه می‌دهد تا سیستم‌ها را به خطر بیندازند. اهداف اکنون “همگانی” شده‌اند و فراتر از پیش‌بینی‌های اولیه، زیرساخت‌های حیاتی را نیز در بر می‌گیرند. این امر نشان می‌دهد که دیگر هیچ صنعتی از این تهدید در امان نیست.

مثال

یک شرکت لجستیکی متوسط را تصور کنید که آسیب‌پذیری اصلی CVE-2025-55182 را وصله کرده اما از رسیدگی به نقص‌های مرتبط تازه کشف شده (CVE-2025-55183 و CVE-2025-67779) غافل مانده است. یک مهاجم با استفاده از یک اکسپلویت بای‌پس (bypass) به دسترسی اولیه می‌رسد، سپس از وب‌سرور عمومی به شبکه داخلی توزیع بار شرکت نفوذ می‌کند و زمینه را برای یک عملیات سرقت بار با استفاده از ابزارهای سایبری فراهم می‌کند.

توصیه کاربردی

نه تنها وصله اصلی CVE-2025-55182 را اعمال کنید، بلکه اطمینان حاصل کنید که وصله‌های بعدی که آسیب‌پذیری‌های بای‌پس مرتبط را برطرف می‌کنند نیز نصب شده‌اند. فرض کنید که قبلاً مورد نفوذ قرار گرفته‌اید و فعالیت‌های شکار تهدید (threat hunting) را آغاز کنید، زیرا وصله کردن، مهاجمی را که از قبل در شبکه شما حضور دارد، بیرون نمی‌کند.

“بذار خلاصه بگم 👇”
آسیب‌پذیری React2Shell به یک ابزار همگانی برای هکرها تبدیل شده. وصله کردن کافی نیست؛ باید فرض کنید قبلاً هک شده‌اید و به دنبال نفوذگر بگردید.

منابع این بخش:

۲. روز صفر مشترک اپل و گوگل: آسیب‌پذیری حیاتی در کامپوننت گرافیکی ANGLE

آسیب‌پذیری‌ها در اجزای نرم‌افزاری مشترک به ویژه خطرناک هستند زیرا به طور همزمان در محصولات و اکوسیستم‌های مختلف ریسک ایجاد می‌کنند. اهمیت استراتژیک این رویداد در این است که دو تا از بزرگترین غول‌های فناوری جهان را مجبور به هماهنگی برای انتشار وصله‌های امنیتی اضطراری کرده است.

CVE-2025-14174: روز-صفر مشترک اپل و گوگل در ANGLE فعالانه در حال بهره‌برداری است

هم اپل و هم گوگل وصله‌های امنیتی اضطراری برای CVE-2025-14174، یک آسیب‌پذیری روز-صفر که فعالانه در حال بهره‌برداری است، منتشر کرده‌اند. بر اساس گزارش SOCRadar و مشاوره گوگل، این نقص یک مشکل دسترسی به حافظه خارج از محدوده (out-of-bounds memory access) در ANGLE است، یک لایه انتزاعی گرافیکی مشترک که توسط مرورگر کروم در macOS و توسط WebKit اپل استفاده می‌شود.

اهمیت این آسیب‌پذیری مشترک چیست؟

ANGLE به عنوان پلی برای رندر گرافیکی عمل می‌کند و یک باگ در اینجا به این معنی است که یک اکسپلویت واحد به طور بالقوه می‌تواند هم علیه کاربران کروم و هم کاربران سافاری یا سایر برنامه‌های مبتنی بر WebKit در دستگاه‌های اپل کار کند. این امر مجموعه اهداف بالقوه مهاجم را به شدت افزایش می‌دهد.

مثالی برای توضیح “دسترسی به حافظه خارج از محدوده”
  • سناریوی عادی: یک انبار با قفسه‌های شماره‌گذاری شده (حافظه) را تصور کنید. به یک کارگر گفته می‌شود که جعبه‌ای را در قفسه شماره ۱۰ قرار دهد. او به درستی جعبه را در آنجا قرار می‌دهد.
  • بردار حمله: یک مهاجم با دادن یک دستور کار جعلی به کارگر، او را فریب می‌دهد تا یک بسته بسیار بزرگ و خطرناک را در “قفسه شماره ۱۵۰” در انباری که فقط ۱۰۰ قفسه دارد، قرار دهد.
  • فاجعه: کارگر که کورکورانه از دستورات پیروی می‌کند، از آخرین قفسه عبور کرده و بسته را در اتاق کنترل کارخانه در مجاورت (خارج از محدوده) قرار می‌دهد و باعث انفجار کل کارخانه می‌شود. به این ترتیب، نوشتن داده در مکان اشتباهی از حافظه می‌تواند باعث از کار افتادن یک برنامه یا کنترل آن توسط مهاجم شود.
توصیه کاربردی

به کاربران توصیه می‌شود فوراً دستگاه‌های اپل خود (iOS، iPadOS، macOS) و مرورگر گوگل کروم خود را به آخرین نسخه‌ها به‌روزرسانی کنند تا از خود در برابر این تهدید که فعالانه در حال بهره‌برداری است، محافظت کنند.

“بذار خلاصه بگم 👇”
یک حفره امنیتی در یک قطعه مشترک بین اپل و گوگل پیدا شده که هکرها از آن استفاده می‌کنند. همین الان تمام دستگاه‌ها و مرورگر کروم خود را آپدیت کنید.

منابع این بخش:

۳. جاسوسی دیجیتال: گروه‌های APT روسی، دانشمندان داخلی و کاربران اوکراینی را هدف قرار می‌دهند

اهمیت استراتژیک سرقت اطلاعات کاربری در عملیات جاسوسی بسیار بالاست. برای گروه‌هایی مانند GRU روسیه، سرقت نام‌های کاربری و رمزهای عبور روش اصلی برای به دست آوردن دسترسی اولیه به منظور جمع‌آوری اطلاعات، به ویژه در مناطق درگیری مانند اوکراین است.

کمپین جدید ForumTroll

گروه ForumTroll (فُروم-ترول) که پیش از این به دلیل بهره‌برداری از یک آسیب‌پذیری روز-صفر در کروم شناخته شده بود، اکنون کمپین جدیدی را آغاز کرده است. این گروه دانشمندان و پژوهشگران علوم سیاسی در روسیه را با ایمیل‌های فیشینگ شخصی‌سازی‌شده هدف قرار می‌دهد. این ایمیل‌ها به ظاهر گزارش سرقت علمی از یک کتابخانه الکترونیکی معتبر هستند، اما در نهایت بدافزار پیشرفته Tuoni (تو-ئو-نی) را روی سیستم قربانی نصب می‌کنند.

BlueDelta (APT28) با فیشینگ مداوم، کاربران UKR.NET در اوکراین را هدف قرار می‌دهد

بر اساس گزارش‌های Recorded Future و The Hacker News، گروه تحت حمایت دولت روسیه APT28 (اِی-پی-تی-۲۸)، که با نام BlueDelta (بلو-دِلتا) نیز شناخته می‌شود، در حال اجرای یک کمپین طولانی‌مدت برای سرقت اطلاعات کاربری از کاربران سرویس ایمیل محبوب اوکراینی، UKR.NET، است.

تحلیل تخصصی

این گروه از فایل‌های PDF به عنوان طعمه استفاده می‌کند که حاوی لینک‌های مخرب هستند. آن‌ها با سوءاستفاده از مجموعه‌ای از سرویس‌های رایگان و ناشناس، اطلاعات ورود و کدهای احراز هویت دو مرحله‌ای (2FA) را جمع‌آوری می‌کنند. این ابزارها شامل سرویس Mocky برای میزبانی صفحات سرقت اطلاعات و ابزارهای تونل‌زنی مانند ngrok (اِن-گِراک) و Serveo برای انتقال امن اطلاعات سرقت‌شده به زیرساخت خود هستند. این گروه پس از مختل شدن زیرساخت‌های قبلی‌اش، به سرعت تاکتیک‌های خود را تطبیق داده است. این فعالیت‌ها در راستای تأمین نیازهای اطلاعاتی گسترده‌تر GRU انجام می‌شود.

مثال

یک کاربر اوکراینی یک فایل PDF ضمیمه دریافت می‌کند که در مورد فعالیت مشکوک در حساب UKR.NET خود هشدار می‌دهد. این PDF حاوی یک لینک است که پس از کلیک، از طریق یک زنجیره تغییر مسیر چند لایه (با استفاده از سرویس‌هایی مانند Blogger یا Mocky) به یک صفحه ورود جعلی UKR.NET منتهی می‌شود که برای سرقت نام کاربری، رمز عبور و کدهای احراز هویت دو مرحله‌ای طراحی شده است.

چرا این حملات مهم هستند؟
هدف قرار دادن دانشگاهیان و محققان علوم سیاسی نشان‌دهنده یک هدف اطلاعاتی مشخص برای درک روندهای سیاسی داخلی و خارجی است. همزمان، تمرکز بر روی یک سرویس ایمیل بزرگ اوکراینی، تلاشی آشکار برای جمع‌آوری اطلاعات حساس در جهت حمایت از اهداف روسیه در جنگ جاری است.

نکته کاربردی

به سازمان‌ها توصیه می‌شود ترافیک به سرویس‌های تونل‌زنی رایگان مانند ngrok و Serveo را در صورتی که برای کسب‌وکار ضروری نیست، در لیست سیاه قرار دهند. به کاربران توصیه می‌شود نسبت به فایل‌های PDF ضمیمه‌ای که درخواست بازنشانی رمز عبور دارند بسیار محتاط باشند و همیشه URL صفحه ورود را قبل از وارد کردن اطلاعات کاربری خود تأیید کنند.

“بذار خلاصه بگم 👇”
هکرهای روسی با ارسال PDFهای جعلی به دنبال سرقت رمز عبور کاربران اوکراینی هستند و برای پنهان کردن خود از سرویس‌های قانونی استفاده می‌کنند.

منابع این بخش:

۴. ربات‌نت Kimwolf: ارتشی از ۱.۸ میلیون تلویزیون اندرویدی برای حملات DDoS و تکامل RansomHouse

عملیات‌های بزرگ مجرمان سایبری به دو عنصر کلیدی متکی هستند: زیرساخت و ابزار. بات‌نت‌ها زیرساخت‌های عظیمی را برای حملاتی مانند DDoS فراهم می‌کنند، در حالی که باج‌افزارهای مدرن به مدل‌های پیچیده “باج‌افزار به عنوان سرویس” (RaaS) با قابلیت‌های فنی پیشرفته تبدیل شده‌اند. بات‌نت (Botnet) شبکه‌ای از دستگاه‌های کامپیوتری آلوده است که توسط یک مهاجم کنترل می‌شود.

بات‌نت Kimwolf با آلوده کردن ۱.۸ میلیون دستگاه، به اپراتور بات‌نت AISURU مرتبط است

بر اساس تحقیقات QiAnXin XLab، یک بات‌نت DDoS جدید به نام Kimwolf (کیم-وولف) حداقل ۱.۸ میلیون دستگاه را آلوده کرده است که عمدتاً شامل تلویزیون‌های مبتنی بر اندروید، ست‌تاپ‌باکس‌ها و تبلت‌ها می‌شود.

تحلیل تخصصی

این بات‌نت به قدری بزرگ است که تنها در سه روز مسئول ۱.۷ میلیارد دستور حمله DDoS بوده و برای مدت کوتاهی یکی از دامنه‌های فرماندهی و کنترل (C2) خود را به یکی از ۱۰۰ دامنه برتر در لیست Cloudflare تبدیل کرده و حتی از گوگل نیز پیشی گرفته است. نکته مهم این است که این بات‌نت به بات‌نت بدنام AISURU (آی-سورو) مرتبط است، که نشان می‌دهد هر دو توسط یک گروه اداره می‌شوند که ممکن است مسئول برخی از بزرگترین حملات DDoS ثبت شده اخیر باشند.

مثال

یک شرکت بازی آنلاین را در حین یک تورنمنت بزرگ تصور کنید. ناگهان، سرورهای آنها غیرقابل دسترس می‌شوند. منبع حمله چند سرور قدرتمند نیست، بلکه میلیون‌ها درخواست کوچک از آدرس‌های IP مسکونی در سراسر برزیل، هند و ایالات متحده است. این‌ها تلویزیون‌های هوشمند آلوده، بخشی از بات‌نت Kimwolf هستند که با حجم بالای ترافیک، دفاع شرکت را در هم می‌شکنند و تورنمنت را از دسترس خارج می‌کنند.

تکامل باج‌افزار RansomHouse و پیامدهای آن

گروه باج‌افزاری RansomHouse (رَنسِم-هاوس) روش رمزنگاری خود را به طور قابل توجهی ارتقا داده است. این گروه از یک تکنیک خطی و تک‌مرحله‌ای به یک روش پیچیده و چندلایه روی آورده که مقاومت آن را در برابر ابزارهای امنیتی و روش‌های بازیابی اطلاعات به شدت افزایش می‌دهد. برای درک پیامدهای واقعی این تکامل فنی، کافی است به نفوذ اخیر به غول تجارت الکترونیک ژاپنی، Askul، نگاه کنیم. در این حمله که توسط RansomHouse انجام شد، اطلاعات بیش از ۷۰۰,۰۰۰ رکورد (شامل حدود ۵۹۰,۰۰۰ رکورد تجاری و ۱۳۲,۰۰۰ رکورد مشتری) به سرقت رفت و سیستم‌های شرکت مختل شد. این باج‌افزار از دو جزء اصلی تشکیل شده است: ابزار استقرار MrAgent (مِستِر-اِیجِنت) و ماژول رمزگذار Mario (ماریو).

برای درک بهتر روش رمزنگاری جدید RansomHouse، می‌توان از یک مقایسه در دنیای واقعی استفاده کرد:

  1. سناریوی عادی: رمزنگاری ساده مثل قفل کردن یک در با یک کلید ساده است.
  2. روش حمله: روش جدید RansomHouse مثل یک گاوصندوق چندمرحله‌ای است. برای باز کردنش، نه تنها به کلید نیاز دارید، بلکه باید رمز ترکیبی را بدانید و یک پازل را هم حل کنید.
  3. پیامد فاجعه‌بار: این یعنی حتی اگر مدافعان یکی از مراحل را پیدا کنند، داده‌ها همچنان در لایه‌های بعدی قفل شده باقی می‌مانند و بازیابی آن‌ها تقریبا غیرممکن می‌شود.
نکته کاربردی

به صاحبان دستگاه‌های هوشمند توصیه می‌شود به طور منظم به‌روزرسانی‌های نرم‌افزاری را برای دستگاه‌های Android TV و سایر دستگاه‌های هوشمند خود بررسی و نصب کنند. همچنین توصیه می‌شود رمزهای عبور پیش‌فرض را تغییر دهند و در صورت امکان، دستگاه‌های IoT را در یک بخش شبکه جداگانه و ایزوله قرار دهند.

“بذار خلاصه بگم 👇”
یک ارتش بزرگ از تلویزیون‌های هوشمند هک شده به نام Kimwolf در حال انجام حملات اینترنتی گسترده است. دستگاه‌های هوشمند خود را آپدیت و رمزهایشان را عوض کنید و یک گروه باج‌افزار هم قفل‌هایش را آنقدر پیچیده کرده که باز کردنشان سخت‌تر از همیشه شده است.

منابع این بخش:

۵. از نفوذ تا انهدام: هک وزارت کشور فرانسه و عملیات DOJ علیه پلتفرم پولشویی

عملیات‌های سایبری که نهادهای دولتی را درگیر می‌کنند، ماهیتی دوگانه دارند. از یک سو، این سازمان‌ها اهداف بسیار ارزشمندی برای مهاجمان هستند؛ از سوی دیگر، آن‌ها از قابلیت‌های قانونی و اجرایی برای مختل کردن و از بین بردن زیرساخت‌هایی برخوردارند که مجرمان سایبری برای فعالیت به آن‌ها وابسته هستند.

تحلیل یافته‌های کلیدی
  • حمله به وزارت کشور فرانسه: مقامات فرانسوی یک مظنون ۲۲ ساله را در ارتباط با حمله سایبری به وزارت کشور فرانسه دستگیر کرده‌اند. در همین حال، انجمن هک بدنام BreachForums (بریچ-فُرومز) مسئولیت این حمله را بر عهده گرفته و ادعا کرده که این اقدام در تلافی دستگیری‌های قبلی اعضای این گروه انجام شده است. آن‌ها همچنین مدعی سرقت اطلاعات بیش از ۱۶ میلیون نفر شده‌اند، هرچند این ادعا هنوز تأیید نشده است.
  • انهدام پلتفرم پولشویی: وزارت دادگستری ایالات متحده (DOJ) موفق به از کار انداختن پلتفرم پولشویی E-Note (ای-نوت) شده است. این پلتفرم که یک صرافی رمزارز و سرویس پرداخت بود، برای شستن ده‌ها میلیون دلار پول حاصل از حملات باج‌افزاری و سایر جرایم سایبری استفاده می‌شد. طبق اعلام مقامات، از سال ۲۰۱۷ بیش از ۷۰ میلیون دلار درآمد نامشروع از طریق این سرویس جابجا شده است. اپراتور این پلتفرم، که یک تبعه روس است، تحت پیگرد قانونی قرار گرفته است.
چرا این رویدادها مهم هستند؟

حمله به وزارت کشور یک قدرت بزرگ اروپایی، گستاخی و جسارت گروه‌های هکری مدرن را نشان می‌دهد. در مقابل، از کار انداختن E-Note یک ضربه کاری به اکوسیستم جرایم سایبری است، زیرا انگیزه‌های مالی را که سوخت اصلی حملاتی مانند باج‌افزارهاست، مختل می‌کند.

بذار خلاصه بگم 👇
یک هکر جوان به اتهام حمله به وزارت کشور فرانسه دستگیر شد، همزمان پلیس آمریکا یک صرافی بزرگ رمزارز را که پول‌های هکرها را می‌شست، از کار انداخت.

منابع این بخش:

۶. بدافزار GachiLoader: تکنیک جدید تزریق کد برای دور زدن آنتی‌ویروس‌ها

نویسندگان بدافزار در یک مسابقه تسلیحاتی دائمی با نرم‌افزارهای امنیتی هستند. توسعه تکنیک‌های جدید تزریق کد از اهمیت استراتژیک بالایی برخوردار است، زیرا به بدافزار اجازه می‌دهد تا محموله مخرب خود را در حافظه یک فرآیند قانونی اجرا کند و شناسایی آن را برای ابزارهای امنیتی سنتی بسیار دشوار می‌سازد.

GachiLoader مبتنی بر Node.js با تکنیک جدید تزریق PE “Vectored Overloading” شناسایی را دور می‌زند

بر اساس تحقیقات Check Point Research، یک لودر بدافزار جدید مبتنی بر Node.js به نام GachiLoader (گاچی-لودر) از یک تکنیک جدید برای تزریق PE به نام Vectored Overloading استفاده می‌کند. محققان یک ابزار منبع باز به نام Node.js Tracer را برای کمک به تجزیه و تحلیل این نوع بدافزارهای مبهم‌سازی شده منتشر کرده‌اند.

تحلیل تخصصی
تکنیک “Vectored Overloading” یک تکامل از بارگذاری بازتابی کلاسیک به سبک RunPE است. این تکنیک خودِ لودر ویندوز را فریب می‌دهد تا یک فایل PE مخرب را از حافظه به جای یک DLL قانونی از دیسک بارگذاری کند. این امر از آن جهت مهم است که باعث می‌شود کد مخرب برای سیستم عامل قانونی‌تر به نظر برسد و روش‌های شناسایی را که به دنبال علائم رایج اجرای کد در حافظه هستند، دور بزند.

مثال واقعی (برای تزریق PE):
  • سناریوی عادی: یک کارخانه امن یک نقشه (DLL قانونی) برای یک ماشین جدید دریافت می‌کند. مدیر کارخانه (لودر ویندوز) نقشه را می‌خواند و ماشین را دقیقاً طبق مشخصات در محوطه کارخانه (حافظه) می‌سازد.
  • بردار حمله: یک مهاجم تحویل نقشه را رهگیری می‌کند. او صفحه رویی را نگه می‌دارد اما صفحات داخلی را با نقشه یک بمب (PE مخرب) جایگزین می‌کند. او همچنین یک یادداشت کوچک و تقریباً نامرئی به دستورالعمل‌های مدیر (فرایند بارگذاری را هوک می‌کند) اضافه می‌کند که می‌گوید: “وقتی به مرحله ۳ رسیدی، نقشه را نادیده بگیر و به این طرح مخفی که در جیبم پنهان کرده‌ام نگاه کن.”
  • فاجعه: مدیر شروع به ساخت می‌کند، اما در مرحله ۳، از دستورالعمل‌های مخفی پیروی کرده و بمب را از طرح مهاجم (PE مخرب را از حافظه بارگذاری می‌کند) به جای ماشین از نقشه‌ای که روی میز است (DLL قانونی روی دیسک) می‌سازد. سیستم‌های امنیتی کارخانه می‌بینند که یک نقشه قانونی در حال استفاده است و تا زمانی که خیلی دیر شود به چیزی شک نمی‌کنند.
نکته کاربردی

به محققان امنیتی و مدافعان توصیه می‌شود از ابزارهای تحلیل پویا مانند Node.js Tracer که به تازگی منتشر شده برای شکستن مبهم‌سازی در بدافزارهای Node.js استفاده کنند. برای سازمان‌ها، بر نیاز به راه‌حل‌های EDR که می‌توانند رفتار غیرعادی حافظه و هوک کردن API را شناسایی کنند، به جای اتکای صرف به امضاهای مبتنی بر فایل، تأکید می‌شود.

“بذار خلاصه بگم 👇”
یک بدافزار جدید به نام GachiLoader با یک روش بسیار هوشمندانه، سیستم‌عامل ویندوز را فریب می‌دهد تا کدهای مخرب را به جای کدهای سالم اجرا کند و از دید آنتی‌ویروس پنهان بماند.

منابع این بخش:

۷. ابزارهای روزمره، سلاح‌های جدید: دامنه های پارک شده، افزونه‌های مرورگر و واتس‌اپ در خدمت هکرها

مهاجمان با بهره‌برداری از اعتماد کاربران به ابزارهای دیجیتالی آشنا، روش‌های جدیدی برای نفوذ ابداع می‌کنند. عناصری که روزانه با آن‌ها سروکار داریم، مانند دامنه‌های اینترنتی بلااستفاده (پارک‌شده)، افزونه‌های مرورگر و اپلیکیشن‌های پیام‌رسان، به طور هوشمندانه‌ای به عنوان ابزاری برای انتشار بدافزار، فیشینگ و سرقت حساب‌های کاربری مورد استفاده قرار می‌گیرند.

تحلیل یافته‌های کلیدی
  • دامنه‌های پارک‌شده، تله‌های جدید: تحقیقات جدید نشان می‌دهد که بیش از ۹۰ درصد بازدیدها از “دامنه‌های پارک‌شده” اکنون به محتوای مخرب مانند بدافزار یا صفحات فیشینگ منجر می‌شود. این یک افزایش چشمگیر نسبت به سال‌های گذشته است. مهاجمان با استفاده از تکنیک‌هایی مانند “پارکینگ بدون کلیک” و انگشت‌نگاری دستگاه (device fingerprinting)، کاربران واقعی را به سمت کلاهبرداری هدایت می‌کنند، در حالی که محتوای بی‌خطر را به پویشگرهای امنیتی نمایش می‌دهند.
  • کمپین GhostPoster: در این کمپین، افزونه‌های مخرب فایرفاکس که خود را به عنوان VPN یا مسدودکننده تبلیغات جا می‌زنند، از تکنیک Steganography (اِس-تِ-گا-نو-گِ-را-فی) برای پنهان کردن بدافزار در فایل آیکون (PNG) خود استفاده می‌کنند. این بدافزار کمیسیون‌های خرید اینترنتی را می‌دزدد، فعالیت کاربران را رصد می‌کند و هدرهای امنیتی مرورگر را غیرفعال می‌سازد.
  • حمله GhostPairing در واتس‌اپ: مهاجمان با فریب دادن کاربران برای اسکن یک کد QR یا وارد کردن یک کد اتصال در یک وب‌سایت جعلی، از قابلیت قانونی “اتصال دستگاه” (device linking) واتس‌اپ سوءاستفاده می‌کنند. این روش به آن‌ها اجازه می‌دهد بدون نیاز به رمز عبور، به تمام پیام‌ها، فایل‌ها و حساب کاربری قربانی دسترسی کامل پیدا کنند.

برای درک بهتر تکنیک Steganography که در حمله GhostPoster استفاده شده، می‌توان از یک مقایسه در دنیای واقعی کمک گرفت:

  1. سناریوی عادی: یک عکس دیجیتال مثل یک دیوار آجری است که از هزاران پیکسل رنگی (آجر) تشکیل شده.
  2. روش حمله: هکرها در GhostPoster، رنگ تعداد کمی از این آجرها را خیلی نامحسوس تغییر می‌دهند تا یک پیام مخفی (کد مخرب) را در دل دیوار پنهان کنند.
  3. پیامد فاجعه‌بار: وقتی افزونه این عکس را در مرورگر شما باز می‌کند، به جای نمایش یک تصویر ساده، آن پیام مخفی را می‌خواند و اجرا می‌کند و کنترل مرورگر شما را به دست می‌گیرد.

بذار خلاصه بگم 👇
مراقب باشید! هکرها دارند از دامنه‌های اینترنتی بی‌صاحب، افزونه‌های فایرفاکس (با پنهان کردن ویروس در عکس) و حتی قابلیت اتصال دستگاه در واتس‌اپ برای دزدیدن اطلاعات شما استفاده می‌کنند.

منابع این بخش:

جمع‌بندی

چشم‌انداز تهدیدات امروز نشان می‌دهد که هم بازیگران دولتی و هم مجرمان سایبری به طور فزاینده‌ای پیچیده‌تر عمل می‌کنند. سوءاستفاده از ابزارها و پلتفرم‌های قانونی برای اهداف مخرب به یک تاکتیک استاندارد تبدیل شده است. این روند بر اهمیت حیاتی وصله کردن سریع، هوشیاری مداوم و شکار فعالانه تهدیدات در شبکه‌ها تأکید می‌کند. در دنیایی که تهدیدات به طور مداوم در حال تکامل هستند، آگاه ماندن اولین و مهم‌ترین گام برای دفاع مؤثر است.

“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec

نوشته‌ای مرتبط

آنچه در این مطلب می‌خوانید

فهرست مطالب