چشمانداز تهدیدات سایبری امروز با ترکیبی از حملات مهندسی اجتماعی پیچیده، آسیبپذیریهای زنجیره تأمین نرمافزار و ظهور هوش مصنوعی به عنوان یک شمشیر دولبه تعریف میشود. کارزارهای بدافزاری مانند JackFix اعتماد کاربران به رابطهای آشنا را هدف قرار میدهند، در حالی که حوادثی مانند آلودگی صدها پکیج NPM، شکنندگی زیرساختهای توسعه نرمافزار را آشکار میسازد. در همین حال، هشدارهای مایکروسافت در مورد نسل جدید هوش مصنوعی، نشاندهنده ورود به عصری است که در آن ابزارهای دفاعی و تهاجمی به طور فزایندهای هوشمند و خودکار میشوند.
۱. کمپین JackFix: وقتی بهروزرسانی ویندوز، بهانهای برای سرقت اطلاعات میشود
حملات مهندسی اجتماعی که اعتماد کاربران به رابطهای کاربری آشنا مانند صفحه آپدیت ویندوز را هدف قرار میدهند، یکی از مؤثرترین روشهای نفوذ به سیستمها هستند. درک این تاکتیکها برای تقویت دفاع سایبری ضروری است، زیرا مهاجمان با فریب کاربر، او را وادار میکنند تا خودش راه را برای ورود بدافزار هموار کند.
یک کارزار بدافزاری جدید با نام JackFix، با استفاده از وبسایتهای غیراخلاقی جعلی که به نظر میرسد نسخههای کپیشده از پلتفرمهایی مانند xH و PH هستند، کاربران را هدف قرار میدهد. این کارزار که احتمالاً از طریق تبلیغات مخرب (malvertising) منتشر میشود، یک صفحه آپدیت جعلی اما بسیار متقاعدکننده ویندوز را به کاربر نمایش میدهد. این یافتهها توسط شرکت امنیت سایبری Acronis که این کارزار را ردیابی کرده، گزارش شده است.
حمله اصلی از طریق روشی به نام ClickFix انجام میشود. در این روش، صفحه آپدیت جعلی تمام صفحه نمایش کاربر را اشغال کرده و از او میخواهد که برای نصب “آپدیت امنیتی فوری”، پنجره Run ویندوز را باز کرده و کلیدهای Ctrl + V را فشار دهد تا یک دستور از پیش کپیشده در کلیپبورد را اجرا کند. به گفته مایکروسافت، این روش به یکی از متداولترین متدهای دسترسی اولیه برای مهاجمان تبدیل شده است. این حمله نمونهای مدرن از یک دسته تهدید پایدار است، زیرا گزارشها نشان میدهند که سوءاستفاده از اطلاعات کاربری و فیشینگ همچنان از برترین روشهای دسترسی اولیه هستند.
“بر اساس دادههای مایکرسافت، حملات ClickFix با تشکیل ۴۷٪ از کل حملات، به رایجترین روش دسترسی اولیه تبدیل شده است.”
برای جلوگیری از فرار کاربر از این صفحه جعلی، مهاجمان از تکنیکهای پنهانسازی استفاده میکنند. کدهای جاوا اسکریپت در این صفحه، تلاش میکنند کلیدهای Escape، F11 (برای خروج از حالت تمامصفحه)، F5 (برای رفرش کردن) و F12 (برای باز کردن ابزارهای توسعهدهنده مرورگر) را مسدود کنند. با این حال، به دلیل منطق معیوب در کد، کاربران همچنان میتوانند با فشردن کلیدهای Escape و F11 از حالت تمامصفحه خارج شوند.
چرا این روش مؤثر است؟
این حمله با ترکیب فشار روانی (“یک آپدیت امنیتی فوری”) و یک رابط کاربری آشنا، کاربر را فریب میدهد تا خودش با دستان خودش، کنترلهای امنیتی سیستم را دور بزند. در واقع، کاربر به جای اینکه هک شود، خود به مجری حمله تبدیل میشود.
برای درک بهتر این نوع حملات، از یک مثال در دنیای واقعی استفاده میکنیم:
- سناریوی عادی: یک نگهبان امنیتی در ورودی ساختمان از شما میخواهد کارت شناسایی خود را نشان دهید. این یک بررسی امنیتی استاندارد و قابل انتظار است.
- بردار حمله: یک کلاهبردار با پوشیدن یونیفرم دقیقاً مشابه نگهبان، درست جلوی ورودی اصلی میایستد. او شما را فریب میدهد تا به جای نشان دادن کارت شناسایی، یک کپی از کلید دفترتان را به او بدهید.
- فاجعه: اکنون کلاهبردار یک کلید برای دسترسی کامل به دفتر شما دارد. او میتواند هر زمان که بخواهد وارد و خارج شود و تمام داراییهای شما را به سرقت ببرد، در حالی که نگهبانان واقعی از هیچچیز خبر ندارند.
زنجیره فنی آلودگی
پس از اجرای دستور اولیه توسط کاربر، ابزار قانونی ویندوز به نام mshta.exe یک کد جاوا اسکریپت را اجرا میکند. این کد به نوبه خود یک اسکریپت PowerShell را از یک سرور راه دور دانلود و اجرا میکند. نکته جالب اینجاست که سرور مهاجم طوری طراحی شده که کد مخرب را فقط در صورتی تحویل میدهد که درخواست از طریق دستورات irm یا iwr در PowerShell ارسال شده باشد تا از تحلیل مستقیم توسط محققان جلوگیری کند.
پس از اجرا، این اسکریپت بدافزارهای متعددی را روی سیستم قربانی نصب میکند که عمدتاً از نوع بدافزارهای سرقت اطلاعات (Stealer) هستند که میتوانند رمزهای عبور، اطلاعات کیف پولهای ارز دیجیتال و سایر دادههای حساس را به سرقت ببرند. از جمله بدافزارهای مشاهدهشده در این کارزار میتوان به موارد زیر اشاره کرد:
- Rhadamanthys (رَ-دا-مَن-تیس)
- Vidar (وی-دار)
- RedLine Stealer (رد-لاین استیلر)
- Amadey (آمادِی)
توصیه کاربردی
کاربران باید نسبت به هرگونه پیام “آپدیت” یا “رفع مشکل” که از آنها میخواهد به صورت دستی دستوری را کپی و اجرا کنند، بسیار محتاط باشند. سازمانها نیز میتوانند برای کاهش ریسک، قابلیت اجرای پنجره Run ویندوز را از طریق Group Policy برای کاربران محدود یا غیرفعال کنند.
بذار خلاصه بگم 👇
هکرها با صفحههای آپدیت جعلی ویندوز در سایتهای غیراخلاقی، شما را فریب میدهند تا خودتان با دست خودتان یک کد مخرب را اجرا کنید و بدافزارهایی که اطلاعات بانکی و رمزهایتان را میدزدند، نصب شوند.
منابع این بخش:
در حالی که این حملات با فریب مستقیم کاربران عمل میکنند، گروههای دولتی رویکردی متفاوت را در پیش گرفتهاند و با پنهان شدن در ترافیکهای قانونی، به دنبال جاسوسی در مقیاسهای بزرگتر هستند.
۲. جاسوسی در سایه ابرها: چین از سرویسهای مایکروسافت و دراپباکس برای حمله به روسیه استفاده میکند
تاکتیکهای فرماندهی و کنترل (C2) در حال یک تغییر استراتژیک هستند. بازیگران دولتی به طور فزایندهای از سرویسهای ابری تجاری معتبر و قانونی برای پنهان کردن فعالیتهای خود سوءاستفاده میکنند. این رویکرد شناسایی آنها را برای مدافعانی که به مسدودسازی آدرسهای IP مخرب شناختهشده تکیه میکنند، بسیار دشوار میسازد، زیرا ترافیک مخرب در میان حجم عظیمی از دادههای قانونی پنهان میشود.
بر اساس گزارشی از Dark Reading، یک گروه هکری وابسته به دولت چین (APT31) در حال جاسوسی از بخش فناوری اطلاعات روسیه بوده است. این گروه با استفاده از سرویسهای ابری تجاری مانند Microsoft OneDrive، Dropbox و حتی سرویس روسی Yandex Cloud، ارتباطات فرماندهی و کنترل (C2) خود را برقرار کرده و دادههای به سرقت رفته را منتقل میکند. این روش به مهاجمان اجازه میدهد تا در پوشش ترافیک عادی و مورد اعتماد شبکه، فعالیتهای خود را پنهان کنند.
برای درک بهتر این روش، از یک مثال در دنیای واقعی استفاده میکنیم:
- سناریوی عادی: ترافیک اینترنتی عادی به سرویسهایی مانند OneDrive، مانند یک کامیون پست است که بستههای روزانه و مورد انتظار را در یک محله توزیع میکند. همه کامیون را میبینند و به آن اعتماد دارند.
- بردار حمله: یک جاسوس پیامهای مخفی خود را درون بستههایی با ظاهر کاملاً معمولی پنهان میکند و آنها را برای تحویل به همان کامیون پست رسمی میدهد. نگهبانان محله کامیون پست را میبینند اما هیچ دلیلی برای مشکوک شدن به آن ندارند.
- فاجعه: جاسوس با موفقیت دستورات و دادههای سرقتی را درست زیر چشم همه ارسال و دریافت میکند، زیرا تمام فعالیتهای او در ترافیک قانونی و معتبری پنهان شده است که هیچکس به بازرسی آن فکر نمیکند.
در این حملات، از بدافزارهای خاصی برای هر سرویس استفاده شده است: OneDriveDoor (وان-درایو-دُر) که از OneDrive بهره میبرد و CloudSorcerer (کِلاود-سُرسِرِر) که میتواند از OneDrive، Dropbox یا Yandex استفاده کند.
این روش مزیت امنیتی عملیاتی (OPSEC) قابل توجهی برای مهاجمان فراهم میکند. با استفاده از دامنههایی با اعتبار بالا (مانند onedrive.live.com)، مهاجمان فایروالهای شبکهای را که بر اساس لیست سیاه دامنهها یا آدرسهای IP کار میکنند، دور میزنند. به قول کیسی الیس: «این یک بهرهبرداری عمدی از یک طراحی هدفمند است.» این یعنی مهاجمان از ویژگیهای ذاتی و قانونی این سرویسها برای اهداف مخرب خود استفاده میکنند.
نکته کاربردی
سازمانها باید نظارت بر ترافیک شبکه را از مسدودسازی صرف IP فراتر برده و به تحلیل رفتار و حجم دادههای خروجی به سرویسهای ابری معتبر نیز توجه کنند تا ناهنجاریها را شناسایی کنند.
“بذار خلاصه بگم 👇”
یک گروه هکری چینی با سوءاستفاده از سرویسهای ابری معروفی مثل OneDrive و Dropbox، به شرکتهای فناوری اطلاعات روسیه نفوذ کرده و جاسوسی میکند، چون این ترافیک در نگاه اول عادی به نظر میرسد.
منابع این بخش:
این تکنیکهای پنهانکاری، مکمل روشهای کلاسیکتری مانند بهرهبرداری از آسیبپذیریهای نرمافزاری هستند که همچنان به عنوان یکی از اصلیترین راههای نفوذ به زیرساختهای حیاتی سازمانها به شمار میروند.
۳. آسیبپذیریهای حیاتی Oracle: از سرقت اطلاعات بانکی تا کنترل کامل سرورها
پچ کردن به موقع برنامههای کاربردی سازمانی، به ویژه سیستمهایی مانند محصولات Oracle که عملکردهای حیاتی کسبوکار را مدیریت میکنند، از اهمیت استراتژیک بالایی برخوردار است. این سیستمها به دلیل دادههای حساسی که در خود جای دادهاند، اهداف بسیار ارزشمندی برای مهاجمان محسوب میشوند.
اخیراً چندین آسیبپذیری حیاتی در محصولات Oracle شناسایی و به طور فعال توسط مهاجمان مورد بهرهبرداری قرار گرفته است:
- هک Oracle EBS: گروه باجافزاری Cl0p (کلاپ) بیش از ۱۰۰ قربانی جدید را که از طریق آسیبپذیری در Oracle E-Business Suite (EBS) هک شدهاند، به وبسایت افشای اطلاعات خود اضافه کرده است. در میان قربانیان، نام یک شرکت تابعه Canon نیز دیده میشود.
- آسیبپذیری Oracle Identity Manager: یک آسیبپذیری حیاتی با شناسه CVE-2025-61757 در Oracle Identity Manager کشف شده که به مهاجم اجازه میدهد بدون نیاز به احراز هویت، کد را از راه دور اجرا کند (Unauthenticated RCE).
شدت این آسیبپذیری به حدی است که آژانس امنیت سایبری و زیرساخت آمریکا (CISA) آن را به کاتالوگ آسیبپذیریهای شناختهشده و در حال بهرهبرداری (KEV) اضافه کرده است. این اقدام تأیید میکند که مهاجمان به طور فعال از این حفره امنیتی سوءاستفاده میکنند و احتمالاً این آسیبپذیری قبل از کشف عمومی به عنوان یک “روز-صفر” (Zero-day) مورد استفاده قرار گرفته است.
در یک حادثه مرتبط، چندین بانک بزرگ آمریکایی تحت تأثیر یک حمله به شرکت SitusAMC قرار گرفتند. در این حمله، مهاجمان دادههای شرکتی حساسی مانند سوابق حسابداری و قراردادهای حقوقی را به سرقت بردند.
چرا این آسیبپذیریها بسیار خطرناک هستند؟
آسیبپذیری در سیستمهای اصلی سازمانی مانند محصولات Oracle به مهاجمان دسترسی عمیقی به “جواهرات تاج” یک شرکت میدهد. این مسئله فراتر از زنجیره تأمین نرمافزار (مانند NPM) است و به زنجیره تأمین عملیاتی یک کسبوکار ضربه میزند. نفوذ به این سیستمها میتواند توانایی یک شرکت برای فعالیت را متوقف کند، همانطور که هک ICBC بازار خزانهداری آمریکا را مختل کرد. کنترل بر دادههای مالی، سیستمهای مدیریت هویت و اطلاعات مشتریان به مهاجمان اهرم فشار فوقالعادهای برای باجگیری یا جاسوسی صنعتی میدهد.
برای مثال فرض کنید یک مهاجم با بهرهبرداری از آسیبپذیری Oracle Identity Manager در یک شرکت بزرگ تولیدی، یک حساب کاربری ادمین مخفی ایجاد میکند. طی یک هفته، او با استفاده از این حساب، به آرامی نقشههای فنی محصولات و پیشبینیهای مالی شرکت را استخراج میکند. در نهایت، پس از سرقت دادههای کلیدی، باجافزار Cl0p را در سراسر شبکه توزیع کرده و کل عملیات شرکت را فلج میکند.
توصیه کاربردی
به سازمانهایی که از Oracle Identity Manager و EBS استفاده میکنند، قویاً توصیه میشود که فوراً آخرین پچهای امنیتی را نصب کنند. با توجه به اینکه این آسیبپذیریها به طور فعال هدف قرار گرفتهاند، بررسی سیستمها برای یافتن هرگونه نشانه نفوذ نیز یک اقدام ضروری است.
بذار خلاصه بگم 👇
یک حفره امنیتی بزرگ در نرمافزارهای شرکتی Oracle پیدا شده که هکرها از آن برای دزدیدن اطلاعات حساس و قفل کردن کل سیستم با باجافزار استفاده میکنند. CISA هم هشدار داده که این یک تهدید فوری است.
منابع این بخش:
۴. حمله زنجیره تأمین Shai-Hulud: صدها پکیج NPM آلوده شدند
امنیت زنجیره تأمین نرمافزار یکی از حیاتیترین جنبههای امنیت سایبری مدرن است. مخازن کد مانند npm که میلیونها توسعهدهنده در سراسر جهان به آنها اعتماد دارند، به یک هدف بسیار ارزشمند برای مهاجمان تبدیل شدهاند، زیرا آلودگی تنها یک پکیج محبوب میتواند تأثیری جهانی داشته باشد.
در یک موج جدید از حملات زنجیره تأمین، بیش از ۶۴۰ پکیج در مخزن npm به یک کرم خودتکثیرشونده به نام Shai-Hulud (شای-هولود) آلوده شدهاند. این یافته توسط چندین شرکت امنیتی از جمله Wiz و JFrog گزارش شده است.
حمله اصلی از طریق کدی مخرب انجام میشود که در فاز preinstall (قبل از نصب) پکیج اجرا میشود. این ویژگی، دامنه تأثیر حمله را به شدت افزایش میدهد، زیرا کد مخرب هم در محیطهای ساخت (build) و هم در محیطهای اجرایی (runtime) فعال میشود. هدف اصلی این کارزار، سرقت اطلاعات محرمانه مانند کلیدهای API، توکنها و رمزهای عبور از محیطهای توسعهدهندگان است.
یکی از ویژگیهای نگرانکننده این کرم، قابلیت تخریبی آن است. اگر کرم نتواند خود را به مخازن کد بیشتری گسترش دهد، محتویات دایرکتوری home کاربر را حذف میکند، که میتواند منجر به از دست رفتن دادههای مهم شود.
چرا این حمله بسیار خطرناک است؟
توسعهدهندگان به طور ذاتی به پکیجهای موجود در مخازن رسمی اعتماد میکنند. مهاجمان با آلوده کردن این پکیجها، این اعتماد را به سلاحی علیه خود توسعهدهندگان تبدیل میکنند. این حملات به مهاجمان اجازه میدهد به محیطهای توسعه امن، خطوط لوله CI/CD و در نهایت، به سیستمهای تولیدی و دادههای حساس مشتریان دسترسی پیدا کنند.
برای نشان دادن مقیاس این حمله، بستههای نرمافزاری متعلق به شرکتهای شناختهشدهای مانند Zapier، ENS Domains، PostHog و Postman نیز تحت تأثیر قرار گرفتهاند. این امر نشان میدهد که حتی پروژههای معتبر نیز میتوانند قربانی این نوع حملات شوند.
برای مثال فرض کنید یک استارتاپ کوچک برای ماژول احراز هویت کاربران خود از یک پکیج npm محبوب استفاده میکند که اکنون آلوده شده است. در طول فرآیند روتین ساخت نرمافزار، اسکریپت مخرب preinstall روی سرور ساخت شرکت اجرا میشود. این اسکریپت، کلیدهای دسترسی AWS و اطلاعات اتصال به پایگاه داده شرکت را سرقت کرده و آنها را در یک مخزن عمومی در GitHub منتشر میکند. در عرض چند ساعت، دادههای حساس شرکت در اینترنت افشا شده و زیرساخت آنها در معرض خطر جدی قرار میگیرد.
توصیه کاربردی
تیمهای توسعه باید سیاستهای سختگیرانهای برای بررسی پکیجهای شخص ثالث اعمال کنند و از ابزارهای اسکن امنیتی در پایپلاین CI/CD خود برای شناسایی پکیجهای مخرب قبل از استفاده، بهره ببرند. استفاده از lockfileها برای تضمین یکپارچگی وابستگیها و اسکن مداوم محیطهای کاری برای شناسایی کلیدهای محرمانه افشاشده، از اقدامات ضروری برای مقابله با این نوع تهدیدات است.
بذار خلاصه بگم 👇
هکرها به کتابخانههای کدی که برنامهنویسها استفاده میکنند نفوذ کردهاند. با نصب یک ابزار ساده، کلیدهای محرمانه شرکتها دزدیده شده و در اینترنت پخش میشود.
منابع این بخش:
۵. هوش مصنوعی: از تولید کد ناامن تا عاملی برای حملات آینده
درک پیامدهای امنیتی نسل بعدی هوش مصنوعی، به ویژه با افزایش استقلال و خودمختاری آن، از اهمیت استراتژیک برخوردار است. همانطور که این فناوریها در محصولات و خدمات ادغام میشوند، سطح حمله جدیدی برای مهاجمان ایجاد میکنند که نیازمند رویکردهای امنیتی نوآورانه است.
مایکروسافت اخیراً در مورد خطرات امنیتی قابل توجه مرتبط با دستیارهای هوش مصنوعی جدید که قادر به انجام اقدامات مستقل هستند (معروف به Agentic AI)، هشدار داده است. این دستیارها میتوانند به نمایندگی از کاربر، وظایفی را به صورت خودکار انجام دهند که این قابلیت، پتانسیل سوءاستفاده را نیز به همراه دارد.
همچنین بر اساس تحقیقات CrowdStrike، مدل هوش مصنوعی چینی DeepSeek-R1 (دیپ-سیک-آر-وان)، زمانی که با پرامپتهایی حاوی موضوعات حساس سیاسی مانند تبت یا اویغورها مواجه میشود، تا ۵۰٪ بیشتر احتمال دارد کدی با آسیبپذیریهای امنیتی شدید تولید کند.
این نگرانیها در جامعه امنیتی نیز بازتاب یافته است. همانطور که در یک وبینار SANS Institute اشاره شده، ریسک عاملهای هوش مصنوعی یک شکست قابل پیشبینی است:
“سازمانها بدون اینکه سطح استقلال یا حاکمیت مورد نیاز را درک کنند، به استقرار «عاملهای» هوش مصنوعی ادامه میدهند… اینها ناهنجاری نیستند، بلکه شکستهای قابل پیشبینی در حاکمیت هستند.”
چرا این موضوع اهمیت دارد؟
ریسک اصلی این است که بدون کنترلهای امنیتی مناسب، این دستیارهای هوشمند میتوانند اقدامات مخربی مانند استخراج دادهها یا نصب بدافزار را انجام دهند. این یک تغییر پارادایم از هوش مصنوعی به عنوان یک ابزار (برای مثال، جهت تولید ایمیلهای فیشینگ) به هوش مصنوعی به عنوان یک عامل فعال در زنجیره حمله است. همانطور که سم آلتمن، مدیرعامل OpenAI، اشاره کرده است، روند فعلی به سمت ادغام عمیق هوش مصنوعی در تمام محصولات است که این چالش امنیتی را به یک مسئله بنیادین برای کل صنعت فناوری تبدیل میکند.
هشدار اصلی مایکروسافت این است: «بدون کنترلهای امنیتی مناسب، دستیارهای هوش مصنوعی میتوانند اقدامات مخربی مانند استخراج دادهها و نصب بدافزار را انجام دهند.»
برای مثال فرض کنید یک شرکت، یک دستیار هوش مصنوعی را برای خودکارسازی وظایف در پلتفرم پشتیبانی مشتریان خود ادغام میکند. یک مهاجم راهی پیدا میکند تا یک دستور مخرب را در قالب یک درخواست پشتیبانی عادی به این دستیار بدهد. هوش مصنوعی که برای “مفید بودن” طراحی شده، دستور را تفسیر کرده و با استفاده از دسترسیهای سیستمی خود، یک پایگاه داده حساس از اطلاعات مشتریان را به یک سرور خارجی تحت کنترل مهاجم منتقل میکند.
توصیه کاربردی
سازمانهایی که در حال بررسی استفاده از هوش مصنوعی Agentic هستند، باید اصول “حداقل دسترسی لازم” (Least Privilege) را به شدت پیادهسازی کنند. نظارت قوی انسانی و ایجاد مسیرهای حسابرسی شفاف برای تمام اقدامات انجامشده توسط دستیارهای هوش مصنوعی از دیگر اقدامات ضروری برای مدیریت این ریسک جدید است.
بذار خلاصه بگم 👇
هوش مصنوعی هم خطرناک است و هم مفید. یک مدل چینی کد ناامن تولید میکند و مایکروسافت هشدار میدهد که عاملهای هوش مصنوعی خودکار میتوانند به خودی خود دست به حمله بزنند.
منابع این بخش:
۶. جاسوسافزارها در کمین کاربران واتساپ و سیگنال: هشدار CISA
امنیت برنامههای پیامرسان شخصی از اهمیت استراتژیک بالایی برخوردار است، زیرا این اپلیکیشنها به بخشی مرکزی از زندگی شخصی و حرفهای ما تبدیل شدهاند. با افزایش استفاده از این پلتفرمها برای ارتباطات حساس، آنها به طور فزایندهای هدف جاسوسافزارهای پیچیده قرار میگیرند.
آژانس امنیت سایبری و زیرساخت آمریکا (CISA) هشداری در مورد فعالیت مهاجمان سایبری صادر کرده که به طور فعال از جاسوسافزارهای تجاری و تروجانهای دسترسی از راه دور (RATs) برای هدف قرار دادن کاربران اپلیکیشنهای پیامرسان موبایلی مانند Signal و WhatsApp استفاده میکنند.
حمله اصلی علیه Signal از طریق بهرهبرداری از قابلیت “دستگاههای متصل” (linked devices) این اپلیکیشن صورت میگیرد. مهاجمان با فریب کاربر، او را وادار به اتصال یک دستگاه جدید به حساب کاربری خود میکنند که در واقع تحت کنترل مهاجم است و به او اجازه میدهد تمام مکالمات را شنود کند. در پلتفرم اندروید نیز، کارزارهای جاسوسافزاری با نامهای ProSpy و ToSpy شناسایی شدهاند که با جعل هویت اپلیکیشنهای قانونی، کاربران را آلوده میکنند.
CISA هشدار میدهد: «این بازیگران سایبری از تکنیکهای هدفگیری و مهندسی اجتماعی پیچیده برای ارسال جاسوسافزار و به دست آوردن دسترسی غیرمجاز به اپلیکیشن پیامرسان قربانی استفاده میکنند.»
چرا این تهدید حیاتی است؟
این نوع حملات، رمزنگاری سرتاسری (end-to-end encryption) این اپلیکیشنها را دور میزنند. با به دست آوردن دسترسی به حساب کاربری، مهاجم به پیامها، لیست مخاطبین و فایلهای به اشتراک گذاشتهشده دسترسی پیدا میکند. این اطلاعات میتواند برای حملات بیشتر علیه خود قربانی یا مخاطبان او مورد استفاده قرار گیرد و حریم خصوصی و امنیت آنها را به طور کامل از بین ببرد.
برای مثال فرض کنید یک روزنامهنگار در حال ارتباط با یک منبع خبری حساس از طریق Signal است. مهاجمی یک پیام فیشینگ متقاعدکننده برای او ارسال کرده و او را فریب میدهد تا یک دستگاه جدید را به حساب Signal خود متصل کند. اکنون مهاجم که یک دستگاه متصل در اختیار دارد، میتواند به صورت مخفیانه تمام مکالمات روزنامهنگار را زیر نظر بگیرد، هویت منبع خبری را شناسایی کرده و به اطلاعات محرمانهای که به اشتراک گذاشته میشود، دسترسی پیدا کند.
توصیه کاربردی
به کاربران توصیه میشود که به طور منظم لیست دستگاههای متصل را در تنظیمات Signal و WhatsApp خود بررسی کنند. همچنین باید نسبت به هرگونه پیام ناخواسته که از آنها میخواهد کدهای QR را اسکن کنند یا روی پیوندها برای “تأیید مجدد” حساب خود کلیک کنند، بسیار محتاط باشند.
بذار خلاصه بگم 👇
آژانس امنیت سایبری آمریکا هشدار داده که هکرها با روشهای پیچیده، اکانتهای واتساپ و سیگنال را هک میکنند تا به پیامهای خصوصی شما دسترسی پیدا کرده و از دستگاهتان جاسوسی کنند.
منابع این بخش:
از حملات پیچیده به زنجیره تأمین نرمافزار گرفته تا نفوذ به پیامرسانهای شخصی، چشمانداز تهدیدات مدرن نیازمند هوشیاری دائمی در تمام سطوح است.
جمعبندی
روندهای امروز نشاندهنده افزایش سرعت و خودکارسازی حملات سایبری است. فاصله زمانی بین افشای یک آسیبپذیری و بهرهبرداری از آن توسط مهاجمان، یا “شکاف پچ”، به سرعت در حال کاهش است که فشار زیادی بر تیمهای امنیتی وارد میکند. این چالش جهانی هم در وابستگیهای متنباز (مانند Shai-Hulud) و هم در نرمافزارهای تجاری سازمانی (مانند Oracle) مشهود است. هوش مصنوعی نیز نقشی دوگانه ایفا میکند؛ از یک سو برای اجرای حملات مهندسی اجتماعی پیچیدهتر به کار گرفته میشود و از سوی دیگر، با ظهور فناوریهایی مانند هوش مصنوعی Agentic، خود به یک سطح حمله جدید تبدیل شده است. حوادث مربوط به npm و Oracle بار دیگر اهمیت حیاتی امنیت زنجیره تأمین و وابستگیهای شخص ثالث را یادآوری میکند. این تحولات نشان میدهد که آینده امنیت کمتر بر پیشگیری از تکتک نفوذها و بیشتر بر ساختن سیستمهایی استوار است که بتوانند تهدیدات را از فضای ابری تا دستگاههای پایانی، به سرعت شناسایی کرده و به آنها پاسخ دهند.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec