پروتکل HTTP از دنباله CRLF جهت نمایش پایان یک سربرگ (header) و شروع خط بعدی و همچنین جایی که سربرگ‌ها پایان یافته و محتوای وب‌سایت شروع می‌شود، استفاده می‌کند. اگر مهاجم یک CRLF وارد کند، می‌تواند یک سربرگ جدید اضافه کند. برای مثال به وسیله‌ی یک سربرگ location، مهاجم می‌تواند کاربر را به وب‌سایت دیگری هدایت کند. فریم‌ورک aiohttp که از کتابخانه asyncio پایتون استفاده می‌کند، حاوی نقص امنیتی تزریق CRLF است. اگر محصولی با استفاده از aiohttp تولید شده‌باشد، یک مهاجم می‌تواند از اعتبارسنجی نامناسب آن بهره‌برداری کرده و درخواست http را تغییر دهد(به طور مثال یک سربرگ اضافه کند) یا حتی در صورت بدست گرفتن کنترل متد http، موفق می‌شود یک درخواست جدید را ایجاد کند.
این نقص امنیتی با شناسه CVE-2023-49082 و شدت CVSS 5.3، هنگامی رخ می‌دهد که مهاجم کنترل متد HTTP (مانند GET، POST و ...) را بدست گرفته‌باشد. نسخه‌های قبلی، هیچ‌گونه اعتبارسنجی‌‌ بر مقدار متغیرهای داده شده درخواست http، اعمال نکرده‌اند و این مسئله کنترل متد http و تغییر محتوای درخواست را برای مهاجم میسر خواهد ساخت.
 

 وجود نقص امنیتی در نمونه ساده‌ای از کد به همراه خروجی آن

محصولات تحت تأثیر
نسخه 3.8.6 این فریم‌ورک آسیب‌پذیر می‌باشد.

• نام کتابخانه آسیب‌پذیر:‌

aiohttp-3.8.6-cp37-cp37m-manylinux_2_17_x86_64.manylinux2014_x86_64.whl

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت نسبت به ارتقاء نسخه این فریم‌ورک اقدام نمایند و چنانچه این امر مقدور نبود،‌ اعتبارسنجی دستی مقادیر وارد شده را در دستور کار خود قراردهند. 

منابع خبر:

[1] https://www.mend.io/vulnerability-database/CVE-2023-49082 
[2] https://github.com/advisories/GHSA-qvrw-v9rv-5rjx 
[3] https://gist.github.com/jnovikov/7f411ae9fe6a9a7804cf162a3bdbb44b 

گزارشی از به‌روزرسانی امنیتی کروم توسط گوگل ارائه شده است. این به‌روزرسانی شامل رفع 6 آسیب‌پذیری مختلف در کروم است که یک مورد از آنها، آسیب‌پذیری روز صفر است. در ادامه، توضیحات هر یک از آسیب‌پذیری‌ها ارائه شده است:
 

• آسیب‌پذیری CVE-2023-6345

این آسیب‌پذیری با شناسه  CVE-2023-6345و شدت بحرانی با CVSS 9.6 ردیابی می‌شود.
این آسیب‌پذیری ناشی از ضعف سرریزinteger  در کتابخانه گرافیکی  2D منبع باز Skia است. Skia همچنین به عنوان موتور گرافیکی توسط سایر محصولات مانند ChromeOS، اندروید و فلاتر استفاده می‌شود. مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند کد دلخواه خود را  اجرا کرده و باعث خرابی سیستم شود.
 

•  آسیب‌پذیری CVE-2023-6348

این آسیب‌پذیری که با شناسه CVE-2023-6348 و شدت بالا با CVSS 8.8 شناسایی شده است، از نوع Type Confusion و در Spellcheck رخ داده است.
 

•  آسیب‌پذیری CVE-2023-6347

این آسیب‌پذیری با شناسه CVE-2023-6347 و شدت بالا با CVSS 8.8 شناسایی شده است. این آسیب‌پذیری از نوع Use after free در Mojo رخ داده است.
 

•  آسیب‌پذیری CVE-2023-6346

  این آسیب‌پذیری با شناسه CVE-2023-6346 و شدت بالا با CVSS 8.8، از نوع Use after free در WebAudio گزارش شده است.

•  آسیب‌پذیری CVE-2023-6350

 این آسیب‌پذیری با شناسه CVE-2023-6350 و شدت بالا با CVSS 8.8 ردیابی می‌شود و از نوع Out of bounds memory access در libavif است.
 

•  آسیب‌پذیری CVE-2023-6351

این آسیب‌پذیری که با شناسه CVE-2023-6351 و شدت بالا با CVSS 8.8 شناسایی شده است، از نوع Use after free در libavif است.

توصیه‌های امنیتی
آسیب‌پذیری مذکور برای کاربران ویندوز در نسخه 119.0.6045.199 و برای کاربران مک و لینوکس در نسخه 119.0.6045.199 وصله شده است. به کاربران توصیه می‌شود مرورگر کروم را به آخرین نسخه‌های منتشر شده به‌روزرسانی کنند.

منبع خبر:

[1] https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html

آسیب‌پذیری‌های متعددی در محصولات موزیلا کشف شده است که از این بین، مهاجم با بهره‌برداری موفقیت‌آمیز از آسیب‌پذیری‌های با شدت بالا می‌تواند از راه دور منجر به اجرای کد دلخواه خود شود. مهاجم می‌تواند بسته به سطح دسترسی خود، برنامه‌های مخرب را نصب کند، داده‌های حساس را مشاهده یا حذف کرده و آن‌ها را تغییر دهد؛ همچنین حساب‌های کاربری جدیدی با سطح دسترسی بالا ایجاد کند. کاربرانی که حساب‌هایشان به گونه‌ای پیکربندی شده است که در سیستم از سطح دسترسی کمتری برخوردار هستند، نسبت به کاربران با سطح دسترسی root، کمتر تحت تأثیر قرار این آسیب‌پذیری قرار خواهند گرفت. در حال حاضر گزارشی از بهره‌برداری از این آسیب‌پذیری‌ها در محیط‌های واقعی وجود ندارد.
روش‌های مورد استفاده توسط مهاجمان جهت بهره‌برداری از این آسیب‌پذیری‌ها عبارتند از:
•    مهاجم با استفاده از تکنیک Clickjacking اجازه دسترسی به مجوزهایی نظیر دسترسی به برنامه‌ها یا تغییر در تنظیمات را بدست می‌آورد.
•    آسیب‌پذیری "Use-after-free"  یک آسیب‌پذیری جدی است زیرا ممکن است اجازه اجرای کد مخرب را برای حمله کننده فراهم کند.
•    آسیب‌پذیری HTML Injection به گونه است که مهاجم می‌تواند تزریق کد HTML خود را اجرا کند.
•    آسیب‌پذیری‌های امنیتی حافظه که ممکن است منجر به اجرای کد دلخواه مهاجم شوند.

محصولات تحت تأثیر
•    نسخه‌های قبل از 115.5.0 Firefox ESR.
•    نسخه‌های قبل از 115.5 Thunderbird.
•    نسخه‌های قبل از 120 Firefox for iOS.
•    نسخه‌های قبل از 120 Firefox.

توصیه‌های امنیتی
•    اعمال به‌روزرسانی‌های ارائه شده توسط Mozilla 
•    مدیریت آسیب‌پذیری برای تجهیزات سازمانی.
•    اعمال به‌روزرسانی‌ها در تجهیزات سازمانی از طریق مدیریت خودکار وصله‌های امنیتی در بازه‌های زمانی منظم و مشخص.
•    رفع آسیب‌پذیری‌های شناسایی‌شده در نرم‌افزارها از طریق ابزارهای مرتبط.
•    پیکربندی اصولی و صحیح حساب‌های‌کاربری مهم با دسترسی root و administrator 
•    محدود کردن دسترسی‌ها، علی‌الاخصوص دسترسی   Admin 
•    استفاده از ابرازها و سایر قابلیت‌ها جهت جلوگیری از نصب نرم‌افزارهای مخرب
•    محدود کردن استفاده از وب‌سایت‌ها و بارگذاری انواع فایل‌ها
•    استفاده از خدمات فیلترینگ DNS بر روی تمام تجهیزات جهت عدم دسترسی به دامنه‌های مخرب.
•    اجرای فیلترهای مرتبط با URL بر روی تمام تجهیزات جهت محدود کردن اتصال به وب‌سایت‌های مخرب یا تأیید‌نشده.
•    مسدودسازی انواع فایل‌های غیر ضروری که تلاش می‌کنند به ایمیل کاربر وارد شوند.
•    استفاده از کنترل‌های فنی مانند به‌روزرسانی فنی برنامه برای اجرای نرم‌افزارهای مجاز.
•    رصد و پیشگیری از رفتارهای مشکوک
•    آموزش و آگاهی‌رسانی به کاربران و کارکنان سازمان‌ها، در زمینه شناسایی حملات مهندسی اجتماعی و لینک‌های مخربی که در ایمیل‌ها وجود دارند.

منبع خبر:

[1]https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-mozilla-products-could-allow-for-ar…
[2]https://www.mozilla.org/en-US/security/advisories/

یک آسیب‌پذیری با شناسه CVE-2023-42004 و شدت 8.0 در IBM شناسایی شده است که به‌دلیل اعتبارسنجی اشتباه محتوای فایل CSV، امکان تزریق و اجرای دستورات مخرب در این فایل  را از راه دور برای مهاجم فراهم می‌آورد. IBM Security Guardium (نرم افزار مدیریت سیاست‌ها) اطلاعات ارائه‌شده توسط کاربر را در یک فایل CSV با مقدار Comma-Separated ذخیره می‌کند، اما عناصر خاصی را که می‌توانند هنگام باز شدن فایل توسط یک محصول صفحه‌گسترده (spreadsheet product) به عنوان یک فرمان تفسیر شوند، خنثی نمی‌کند یا به اشتباه خنثی می‌کند. این آسیب‌پذیری یکپارچگی را تحت تأثیر خود قرار می‌دهد.

محصولات تحت تأثیر
آسیب‌پذیری مذکور بر محصول IBM Security Guardium  نسخه‌های 11.3، 11.4 و 11.5 اثر می‌گذارد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء IBM Security Guardium به نسخه‌های وصله ‌شده اقدام نمایند.

 منبع خبر:

https://www.ibm.com/support/pages/node/7069241 

یک آسیب‌پذیری با شناسه CVE-2023-46589 و شدت بالا در  Apache Tomcatشناسایی شده است که به‌دلیل اعتبارسنجی نامناسب در ورودی، امکان Request Smuggling (قاچاق درخواست) در reverse proxy را برای مهاجم فراهم می‌آورد. این آسیب‌پذیری به این ‌دلیل رخ می‌دهد که Tomcat، HTTP trailer headers را به درستی تجزیه و تحلیل نمی‌کند. یک trailer header ویژه که از اندازه header فراتر می‌رود، می‌تواند منجر به در نظر گرفتن یک درخواست به‌عنوان درخواست‌های متعدد توسط Tomcat شود که در نتیجه در reverse proxy، امکان Request Smuggling رخ خواهد داد. محصول به عنوان یک عامل HTTP واسطه (مانند یک پروکسی یا فایروال) در جریان داده بین دو بخش مانند یک کلاینت و سرور عمل می‌کند، اما درخواست‌ها یا پاسخ‌های HTTP نادرست را به روش‌هایی که با نحوه پردازش پیام‌ها توسط نهادهایی که در مقصد نهایی هستند، سازگار باشد، تفسیر نمی‌کند. در واقع درخواست در سمت کلاینت و سرور بصورت ناهمگان تفسیر می‌شود. 

 محصولات تحت تأثیر
این آسیب‌پذیری محصول Apache Tomcat.Tomcat نسخه‌های 11.0.0-M1 تا 11.0.0-M10، 10.1.0-M1 تا 10.1.15، 9.0.0-M1 تا 9.0.82 و 8.5.0 تا 8.5.95 را تحت تأثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Apache Tomcat.Tomcat به نسخه‌های زیر اقدام نمایند:

•    Apache Tomcat نسخه 11.0.0-M11یا جدیدتر 
•    Apache Tomcat نسخه 10.1.16 یا جدیدتر 
•    Apache Tomcat نسخه 9.0.83 یا جدیدتر 
•    Apache Tomcat نسخه 8.5.96 یا جدیدتر 

منبع خبر:

https://lists.apache.org/thread/0rqq6ktozqc42ro8hhxdmmdjm1k1tpxr 

یک آسیب‌پذیری با شناسه CVE-2023-4398 و شدت 7.5 در ویژگی VPN برخی از نسخه‌های فایروال Zyxel شناسایی شد. در این آسیب‌پذیری به‌دلیل سرریز عدد صحیح source code در QuickSec IPSec toolkit امکان حمله انکار سرویس (DoS) در دستگاه آسیب‌دیده را از طریق ارسال یک بسته IKE دستکاری شده، برای مهاجم احراز هویت نشده فراهم می‌آورد.

محصولات تحت تأثیر
این آسیب‌پذیری در ویژگی VPN برخی از نسخه‌های فایروالZyxel  شاملZyxel ATP series firmware نسخه‌های 4.32 تا 5.37، USG FLEX series firmware  نسخه‌های 4.50 تا 5.37، USG FLEX 50(W) series firmware نسخه‌های 4.16 تا 5.37، USG20(W)-VPN series firmware نسخه‌های 4.16 تا 5.37 و VPN series firmware نسخه‌های 4.30 تا 5.37 را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء نسخه‌های آسیب‌پذیرZyxel ATP series firmware، USG FLEX series firmware، USG FLEX 50(W) series firmware، USG20(W)-VPN series firmware و VPN series firmware به نسخه‌های وصله ‌شده اقدام نمایند.

منبع خبر:

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vu…

اخیرأ دو آسیب‌پذیری با شدت بالا در برخی محصولات Apache کشف شداست آسیب‌پذیری اول با شناسه CVE-2023-49068 امکان افشای اطلاعات حساس را برای مهاجم فراهم می‌آورد. این آسیب‌پذیری که در Apache DolphinScheduler کشف شد، باعث می‌شود اطلاعات حساس در اختیار کاربرانی قرار گیرد که مجاز به دسترسی به آن‌ها اطلاعات نیستند. این آسیب‌پذیری محرمانگی را تحت تأثیر خود قرار می‌دهد. آسیب‌پذیری دوم با شناسه CVE-2023-49145 و شدت 7.9، امکان حمله XSS مبتنی بر  DOM از طریق پردازنده  JoltTransformJSONرا برای مهاجم فراهم می‌آورد. این آسیب‌پذیری که به‌دلیل خنثی‌سازی نامناسب ورودی در رابط کاربری پیشرفته (Advanced User Interface) در Jolt در Apache NiFi رخ می‌دهد، در صورتی که کاربر احراز هویت شده مجوز پیکربندی یک پردازنده  JoltTransformJSON را داشته باشد، با بازدید از یک URL دستکاری شده، می‌توان کد جاوا اسکریپت دلخواه را در محتوای نشست این کاربر (کاربر احراز هویت شده) اجرا کرد.
Apache NiFi  یک فریمورک جهت توسعه خطوط لوله پردازش (processing pipelines) با استفاده از اجزای استاندارد و سفارشی فراهم می‌کند. این فریمورک از مجوزهای قابل تنظیم پشتیبانی می‌کند که کاربران مجاز را قادر می‌سازد کد را با استفاده از چندین مؤلفه استاندارد اجرا کنند. اجزایی مانند ExecuteProcess  وExecuteStreamCommand  از اجرای دستورات سیستم‌عامل پشتیبانی می‌کنند، در حالی که سایر اجزای اسکریپت از اجرای کد سفارشی با استفاده از زبان‌های برنامه‌نویسی مختلف پشتیبانی می‌کنند.

محصولات تحت تأثیر
این آسیب‌پذیری محصول Apache DolphinScheduler نسخه قبل از 3.2.1 و محصول Apache NiFi نسخه‌های 0.7.0 تا 1.23.2را تحت تأثیر خود قرار می‌دهد.  

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Apache DolphinScheduler به نسخه 3.2.1 و Apache NiFi  به نسخه‌های 1.24.0 یا  2.0.0-M1 اقدام نمایند. 

منابع خبر:

[1] https://lists.apache.org/thread/jn6kr6mjdgtfgpxoq9j8q4pkfsq8zmpq

[2] http://www.openwall.com/lists/oss-security/2023/11/27/5

طبق تحقیقات اخیر چند نقص نرم‌افزاری در حسگر اثرانگشت لپ‌تاپ‌های 15 Dell Inspiron، Lenovo ThinkPad T14  و Microsoft Surface Pro X کشف شده است که از این طریق مهاجمان فرایند احراز هویت صفحه Windows Hello authentication را دور زده و به محیط شخصی کاربر دست پیدا کنند. این تحقیقات نشان می‌دهند چیپست Match on Chip (MoC) که در حسگر‌ اثر انگشت کمپانی‌های‌ Goodix، Synaptics و ELAN به کار رفته اند، دارای این نقص نرم‌افزاری هستند. به گفته محققان امنیتی: «چیپست MoC باید موجب جلوگیری از ایجاد تغییرات در اثر انگشت ذخیره‌شده در حافظه گردد، در واقع این چیپست باید موجب شود تا اثر انگشت فقط از حسگر اصلی دریافت و با اثرانگشت ذخیره شده در پایگاه داده حسگر تطبیق داده شود. این چیپست باید از دریافت اثرانگشت از هر حسگر دیگری جلوگیری کند که متاسفانه MoC در انجام این عمل به دلیل نقص نرم‌افزاری ناتوان است. همچنین MoC قابلیت جلوگیری از به اشتراک گذاشتن داده رد و بدل شده بین پایگاه داده و حسگر را ندارد.». نقص فنی مذکور در حسگر‌های مختلف به صورت زیر عمل خواهد کرد:
حسگرهای ELAN:
•    آسیب پذیری در برابر جعل اثرانگشت ناشی از عدم پشتیبانی (SDCP) و منتقل کردن شناسه‌های امنیتی به صورت متن واضح (clear text).
•    ELAN اجازه می‌دهد تا دستگاه‌های متصل به درگاه USB خود را به عنوان حسگر اثرانگشت معرفی کند.
حسگرهای synaptics:
•    پشتیبانی از حالت (SDCP) به صورت پیش‌فرض غیر فعال است.
•    استفاده از پروتوکل Transport Layer Security (TLS) جهت جلوگیری از حملات احتمالی و محافظت از اطلاعات رد و بدل شده بین حسگر و داده‌های ذخیره شده مربوطه.
حسگر Goodix:
با داشتن پایگاه‌ داده‌های متفرق از یکدیگر و پشتیبانی ازسیستم‌عامل‌های ویندوز و لینوکس، از امنیت بالاتری برخوردار بوده و توانایی انجام عملیات زیر را داشته است:

•    Boot to Linux.
•    Enumerate valid IDs
•    Enroll attacker's fingerprint using the same ID as a legitimate Windows user
•    MitM the connection between the host and sensor by leveraging the cleartext USB communication
•    Boot to Windows
•    Intercept and rewrite the configuration packet to point to the Linux DB using our MitM
•    Login as the legitimate user with attacker's print

نقص فنی در حسگرهای Goodix به این صورت می‌باشد که اگر میزبان، بسته ناشناسی را به حسگر ارسال کند، می‌توان مشخص کرد که حسگر از چه پایگاه داده‌ای هنگام تشخیص اثرانگشت استفاده کند.

توصیه‌های امنیتی
1-  کمپانی‌های سازنده، پروتکل (SDCP) را به صورت پیش‌فرض در پایگاه داده خود فعال بگذارند.
2-  کمپانی‌ها از صحت کارکرد حسگر‌ها توسط کارشناسان مجرب اطمینان حاصل کنند.

منبع خبر :

https://thehackernews.com/2023/11/new-flaws-in-fingerprint-sensors-let.html

اخیرا ایمیل‌هایی که در قالب تایید ارسال و تایید دریافت هستند، جهت گسترش یک Loader بدافزار به نام WailingCrab مورد استفاده قرار می‌گیرند. براساس تحقیقات صورت گرفته، خود بدافزار شامل اجزای مختلفی از جمله Loader، تزریق‌کننده دستور، دانلود‌کننده و backdoor می‌باشد. ارسال درخواست‌های موفقیت‌آمیز به سرورهای کنترل و فرمان C2(command-and-control) جهت اجرای مرحله بعدی حمله ضروری ‌است.
سرور C2 ابزار اصلی مهاجمان سایبری جهت راه‌اندازی و کنترل حملات می‌باشد. از C2 برای ارسال دستورات به بدافزار، توزیع برنامه‌ها، اسکریپت‌های مخرب و دیگر موارد استفاده می‌شود. بهره‌برداری فعال از این بدافزار که هم‌چنین با نام WikiLoader نیز شناخته می‌شود، برای اولین‌بار در دسامبر ۲۰۲۲ رصد شده‌بود. این بدافزار مخفی‌کاری را در اولویت کار خود قرار داده و در برابر اقدامات آنالیز و تحلیل مقاومت می‌کند. در راستای کاهش بیشتر شانس شناسایی، از وب‌سایت‌های قانونی و هک‌شده جهت ارتباطات اولیه کنترل و فرمان C2 استفاده می‌شود.
علاوه بر این، اجزای این بدافزار در پلتفرم‌های مشهوری مانند Discord ذخیره می‌شود. یکی از تغییرات قابل‌توجه آن، از اواسط سال 2023، استفاده از MQTT می‌باشد که یک پروتکل پیام‌رسانی جهت استفاده از C2 در سنسورهای کوچک و دستگاه‌های تلفن همراه است. این پروتکل تنها در موارد معدودی مورد استفاده قرار می گیرد. زنجیره‌های حمله با ایمیل‌های دارای پیوست‌های PDF شروع می‌شوند که این پیوست‌ها حاوی URLهایی هستند که با کلیک بر روی آن‌ها، یک فایل جاوا اسکریپت که جهت بازیابی و راه‌اندازی لودر WailingCra در Discord طراحی شده است، دانلود می‌شود.
Loader، مسئول اجرای یک ماژول تزریق دستور در مرحله بعد است که یک دانلودکننده را جهت استقرار backdoor فعال می‌سازد. در نسخه‌های قبلی، backdoor به عنوان یک پیوست در شبکه تحویل محتویDiscord  (Discord CDN) میزبانی می‌شد. با این حال، آخرین نسخه WailingCrab از قبل دارای مؤلفه backdoor رمزگذاری شده با AES است و در عوض به وسیله C2 یک کلید رمزگشایی را برای رمزگشایی backdoor دانلود می‌کند. backdoor، که به عنوان هسته بدافزار عمل می‌کند، جهت ایجاد پایداری در سیستم آلوده و برقراری ارتباط با سرور C2 با استفاده از پروتکل MQTT برای دریافت دستورات اضافی طراحی شده است. علاوه بر این، انواع جدیدتر backdoor بجای مسیر دانلود مبتنی بر Discord، از دستورات پوسته کد که به طور مستقیم از C2 به وسیله MQTT دریافت می‌شوند پیروی می‌کنند.
به گفته محققان: « اصراری که بر استفاده از پروتکل MQTT توسط WailingCrab وجود دارد نشان‌دهنده تلاش متمرکز بر پنهان‌کاری و فرار از تشخیص است. حتی در نسخه‌های جدیدتر، فراخوانی‌‌هایی که به discord وجود داشت (جهت بازیابی دستورات) را نیز حذف کرده‌اند که به اختفای بیشتر این بدافزار کمک می‌کند.»
Discord به یک انتخاب رایج برای مهاجمان سایبری که به دنبال میزبانی بدافزار هستند، تبدیل شده‌است و به همین دلیل این احتمال وجود دارد تا دانلود فایل از این پلتفرم تحت بررسی‌های دقیق‌تری قرار گیرد. بنابراین عجیب نیست که توسعه دهندگان WailingCrab به یک رویکرد جایگزین روی آورده‌اند.

توصیه‌های امنیتی
شرکت discord نیز به این موضوع بی‌توجه نبوده‌ و در ماه اخیر اذعان داشته است که: « Discord اواخر امسال به پیوندهای فایل موقت برای همه کاربران روی می‌آورد تا مانع از استفاده مهاجمان از سیستم تحویل محتوای آن شود.»

منبع خبر:

https://thehackernews.com/2023/11/alert-new-wailingcrab-malware-loader.html?m=1 

شرکت Malwarebytes اعلام کرده است که اخیراً حملات بدافزار Atomic Stealer (AMOS) با استفاده از زنجیره به‌روزرسانی جعلی به نام ClearFake، مرورگرهای MacOS و محصولات شرکت اپل را رصد کرده است. مرورگرهای تقلید شده عبارتند از سافاری و کروم. نکته حائز اهمیت در خصوص این حمله آن است که احتمالاً این اولین باری است که یکی از اصلی‌‌‌ترین کمپین‌‌‌های مهندسی اجتماعی که قبلاً مختص ویندوز بوده، نه تنها از نظر موقعیت جغرافیایی بلکه از نظر سیستم‌عامل نیز دچار انشعاب شده است. براساس گزارش شرکت Malwarebytes، AMOS از طریق یک زنجیره به‌روزرسانی جعلی مرورگر به نام ClearFake، وارد سیستم‌‌‌های کاربران Mac شده است. 

به‌روزرسانی جعلی مرورگر سافاری در کمپین ClearFake

کمپین بدافزار ClearFake اولین بار در ماه جولای شناسایی و نام‌گذاری شد و گمان می‌رود که از آن زمان به‌روزرسانی‌های متعددی را پشت سر گذاشته است. در آن زمان کاربران ویندوزی با یک پیام به‌‌‌روزرسانی جعلی کروم مواجه بودند که از طریق اسکریپت‌‌‌های جاوا در سایت‌‌‌های آسیب‌دیده، به نمایش درمی‌‌‌آمد. همچنین در ماه اکتبر 2023، آزمایشگاه Guardio یک توسعه قابل توجه برای این عملیات مخرب کشف کرد که از قراردادهای زنجیره هوشمند بایننس جهت پنهان کردن اسکریپت‌‌‌های مخرب خود استفاده می‌‌‌نمود. مهاجمان از طریق این راهکار که EtherHiding نامیده می‌‌‌شود، محتواهای هدفمند ویندوزی، از جمله بدافزارهای سرقت اطلاعات مانند RedLine، Amadey و Lumma را توزیع می‌‌‌کردند.
نخستین بار Atomic در آوریل 2023 توسط Trellix و Cyble کشف شد. براساس گزارش منتشر شده، این بدافزار تلاش می‌کند اطلاعات گذرواژه‌ها، کوکی‌ها و کارت‌های اعتباری ذخیره‌شده در مرورگرها، فایل‌های محلی، داده‌های بیش از 50 پسوند ارزهای دیجیتال و رمزهای عبور زنجیره‌کلید را سرقت کند. بدافزار AMOS در کنال‌‌‌های تلگرامی با حق استفاده ماهانه 1000 دلار آمریکا در حال خرید و فروش می‌‌‌باشد و به همین دلیل توزیع نسخه‌‌‌های مختلف آن به طرق مختلف در حال انجام است. یکی از راه‌‌‌های رایج این انتشار، توزیع بدافزار در قالب فایل‌‌‌های نصب برنامه‌‌‌های پراستفاده و یا کرک‌شده، نظیر آفیس مایکروسافت، می‌‌‌باشد. به دلیل تنوع بالای نسخه‌‌‌های توزیع شده، می‌‌‌توان AMOS را یکی از رایج‌ترین و خطرناک‌ترین حملات مهندسی اجتماعی حال حاضر نامید.

محصولات تحت تأثیر
براساس گزارش منتشر شده، به نظر می‌‌‌رسد که پس از ویندوز، سیستم عامل MacOS به صورت فزاینده‌‌‌ای تحت تاثیر حملات سایبری قرار گرفته است. حمله اخیر از مسیر به‌روزرسانی‌های جعلی مرورگرها، سالهاست که موضوعی رایج در بین حملات تحت ویندوز بوده است و اکنون وارد حوزه MacOS شده است.
ابزار Keychain Password، مدیریت رمزهای سیستم‌عامل macOS را برعهده دارد که رمزهای عبور WiFi، ورود به وب سایت، داده‌‌‌های کارت اعتباری و سایر اطلاعات رمزگذاری شده را ذخیره خواهد کرد. بنابراین به خطر افتادن آن می‌‌‌تواند خطرات جبران ناپذیری برای کاربران به دنبال داشته باشد. بررسی رشته‌های موجود در حمله اخیر نشان‌دهنده وجود تعدادی دستور برای استخراج داده‌های حساس مانند رمزهای عبور و هدف‌گیری فایل‌های اسناد، تصاویر، فایل‌های کیف پول رمزنگاری و کلیدها می‌‌‌باشد.

توصیه‌های امنیتی
اولین بار شرکت Malwarebytes در ماه سپتامبر متوجه شده بود که AMOS از مسیر انتشار تبلیغات جعلی در برنامه infodealer، قربانیان را فریب می‌‌‌دهد تا آن را دانلود کنند. بنابراین به نظر می‌‌‌رسد مهاجمان این کمپین در حال یافتن راه‌‌‌های بیشتری برای هدف قرار دادن قربانیان هستند. کاربران باید مراقب دانلودها به خصوص درخواست‌های جعلی به‌‌‌روزرسانی مرورگر در هنگام بازدید از وب‌سایت‌ها باشند. لازم به ذکر است که حتی پس از گذشت چند ماه از کشف و گزارش‌های مربوط به Atomic، تقریباً 50 درصد از موتورهای AV در VirusTotal، قادر به شناسایی محتواهای مرتبط با آن نیستند. کاربران محصولات اپل باید دقت نمایند که تمام به‌روزرسانی‌های مرورگر سافاری و یا سایر مرورگرها،  از طریق به‌روزرسانی نرم‌افزار macOS  و یا در خود مرورگر انجام می‌‌‌گیرد. بنابراین، در صورت مشاهده هرگونه درخواست در خصوص دانلود به‌روزرسانی‌های مرورگر در وب‌سایت‌های متفرقه، باید آن‌ها را نادیده بگیرند.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/atomic-stealer-malware-strikes-macos-via-fake-browse…
[2] https://www.darkreading.com/attacks-breaches/threat-actor-using-fake-browser-updates-to-distribute-…
[3] https://cybernews.com/security/clearfake-malware-mac-os-targeted/#google_vignette