تکنیک جدید فیشینگ با نرم‌افزار دسترسی از راه دور

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir remote access phishing attack
یک تکنیک جدید فیشینگ به مجرمان سایبری اجازه می‌دهد تا از سد احراز هویت چند عاملی (MFA) عبور کنند. این تکنیک شامل ورود مخفیانه قربانیان به حساب‌های خود در سرور‌های کنترل شده توسط مهاجم با استفاده از VNC است.

تکنیک جدید فیشینگ
یک محقق امنیتی به نام mr.d0x در حال انجام pen-testing برای یک شرکت بود و در نهایت برای به دست آوردن اعتبار حساب، یک حمله فیشینگ علیه کارمندان مشتری ایجاد کرد.

این محقق با استفاده از نرم‌افزار دسترسی از راه دور (noVNC) و مرورگر‌هایی که در حالت kiosk کار می‌کنند، یک حمله فیشینگ ایجاد کرد تا اعلان ورود به‌ایمیل را در سرور مهاجم اجرا شده، در مرورگر قربانی نشان دهد.

در این حمله، از فریمورک حمله Evilginx2 استفاده شد که به عنوان یک پروکسی معکوس برای سرقت اطلاعات کاربری/کد‌های MFA عمل می‌کند.

این تکنیک فیشینگ MFA را دور می‌زند زیرا کاربر رمز عبور یک بار مصرف را مستقیماً در سرور مهاجم وارد می‌کند و دستگاه را برای ورود به سیستم در آینده نیز مجاز اعلام می‌نماید.

چرا از noVNC استفاده کنیم؟
اساساً VNC به کاربران راه دور اجازه می‌دهد تا به دسکتاپ کاربر وارد شده، متصل شده و آن را کنترل کنند. با این حال، نرم‌افزار noVNC به کاربران اجازه می‌دهد تا تنها با کلیک بر روی یک لینک، از داخل یک مرورگر به سرور VNC متصل شوند.

این حمله چگونه کار می‌کند؟
هدف از این حملات، این است که کاربران را وادار به کلیک بر روی یک لینک مخرب سفارشی کند تا قربانیان را گول بزند که گویی در حال کار بر روی مرورگر خود هستند، در حالی که این لینک روی دستگاه از راه دور از طریق noVNC کار می‌کند.

برای شروع، مهاجم باید سروری با noVNC راه‌اندازی کند، هر مرورگری را در حالت kiosk اجرا کند و به وب‌سایتی واقعی که مهاجم می‌خواهد کاربر آن را احراز هویت کند (مانند accounts.google.com) مراجعه نماید.

مهاجمان لینکی را به کاربر مورد نظر ارسال می‌کنند که عمدتاً از‌ایمیل‌های spear-phishing استفاده می‌کنند. این لینک‌ها به طور خودکار مرورگر هدف را راه‌اندازی می‌کنند و بدون اینکه متوجه شوند وارد سرور VNC راه دور مهاجم می‌شوند.

لینک‌ها قابل تنظیم هستند و شبیه URL‌های ورود به سیستم VNC مشکوک نیستند. هنگامی که قربانی روی یک لینک کلیک می‌کند، به سادگی یک صفحه لاگین و ورود به سیستم را می‌بیند.

هنگامی که یک کاربر وارد سیستم می‌شود، مهاجم می‌تواند از ابزار‌های مختلف برای سرقت اطلاعات کاربری یا توکن‌های امنیتی استفاده کند.

نتیجه‌گیری
تکنیک فیشینگ نشان داده شده هنوز در حملات دنیای واقعی استفاده نشده است. با این حال، محققان مشکوک هستند که می‌تواند در آینده مورد استفاده قرار گیرد. بنابراین توصیه می‌شود هرگز روی آدرس‌های فرستنده ناشناس کلیک نکنید. علاوه بر این، کاربران باید هنگام دریافت هر‌ایمیلی به خصوص درخواست ورود به سیستم و بررسی لینک‌ها برای دامین‌های غیر معمول، هوشیار باشند.

برچسب ها: کلیک, Remote, دسترسی از راه دور, mr.d0x, pen-testing, Evilginx2, noVNC, VNC, kiosk, احراز هویت چند عاملی, Multi-factor authentication, spear-phishing, مرورگر, پروکسی, Browser, لینک, MFA, phishing, احراز هویت, Cyber Security, فیشینگ, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ