انتشار PDF آلوده با استفاده از موتور گوگل

spread pdf malware

محققان امنیتی فناوری اطلاعات شرکت Netskope بدافزار سطح بالایی کشف کردند که با سوء استفاده از موتور برنامه‌ای گوگل (GCP) و پلتفرم رایانش ابری سرویس دهنده، خود را تحت پوشش سند PDF منتشر می‌کند.

به گفته پژوهشگران، این بدافزار در حال حاضر موسسات مالی و دولتی به ویژه غول‌های بانکداری جهانی را هدف قرار داده است. شواهد نشان می‌دهند که طراح این حملات، Cobalt Strike ، گروهی از مجرمان سایبری است که پیش از این به حملات مخرب علیه شرکت‌های مالی مشهور بودند.

این وقایع در ماه جاری شروع شد، درست در هنگامی که شرکت شاهد چندین مشتری از بخش مالی بود که ایمیل‌های حاوی فایل های ضمیمه با پسوند .eml  را دریافت کرده و دارای شناسه مشابهی بودند. قابل توجه است که این فایل ها در قالب اسناد مایکروسافت ورد با کدهای ماکروی مخرب و یا اسناد PDF در مرحله ی دوم دانلود می شوند.

در شرایط عادی، نرم افزارهای اجرا کننده ی فایل PDF ، هر زمان که سند به یک وب سایت متصل می شود، یک هشدار امنیتی را نشان می دهد. با این حال ویژگی  “Once remember this action for this site” برای یک دامنه مورد بررسی قرار می گیرد، این ویژگی امکان دسترسی به هر نشانی اینترنتی در این دامنه را فراهم می‌آورد، به خصوص زمانی که دامنه آن appengine.google.com است.

محققان پیشنهاد می کنند که کاربران باید از دانلود فایل‌های ناشناخته از ایمیل‌های ناشناس خودداری کنند و از اجرای آن ها اجتناب کنند ” مگر اینکه مطمئن باشند که بی‌خطر هستند. علاوه بر این آن ها بر این باورند که باید  سیستم خود را به روز نگه دارید،  از راه حل‌های ضد بدافزار استفاده کنید و  URLها و فایل‌ها را در VirusTotal بررسی کنید.

با این وجود، این اولین بار نیست که سرویس Google برای گسترش بد افزارها مورد استفاده قرار گرفته است.:

  • اخیرا ، محققان ابزار DarkHydrus را گسترش دادند و یک نوع جدید از بدافزار به نام  RogueRobin را منتشر کردند که  با استفاده از Google Drive، سیاستمداران خاورمیانه را هدف قرار دهند.
  • سال گذشته HackRead به طور انحصاری گزارش داد که هکرها از Google Adwords و Google Sites استفاده می کنند تا یک بدافزار را با استفاده از نسخه جعلی مرورگر گوگل کروم گسترش دهند.
  • علاوه بر این، در سال 2017، هکرها نیز یک اکسپلویت از نتایج جستجوی گوگل پیدا کردند که تروجان Zeus Panda Banking را که از  SEO-malvertising و SERP استفاده می کرد، توزیع می کرد.
  • در اکتبر سال گذشته، محققان رفتارهای عجیب و غریب در سرورهای Googlebot که درخواست های مخرب از آنها آغاز شده بود، مشاهده کردند. پس از بررسی بیشتر، کشف شد که هکرها با استفاده از حملات تروجان از Googlebots استفاده می کردند.