fbpx

שנה אחרי המתקפה על וואלה!, התוקפים מטרגטים קורבנות חדשים דרך הפייסבוק

בימים האחרונים זוהתה בפייסבוק הודעה הקוראת למשתמשים להוריד "דור חדש של צ'אט… עם מעל למיליון משתמשים… המחלק פרסים מידי שבוע".

התוקף זוהה כבר בשנה שעברה על ידי חוקרי קספרסקי כאשר השתמש בשיטות תקיפה דומות, ושלח מיילים למשתמשי וואלה! הקורא להם להוריד ולהתקין פתרון אבטחה חדש העוצר וירוס איראני. חוקרי קספרסקי ביצעו חקירה של המתקפה והצליחו לשייך בין שני המקרים.

הדף שממנו נשלחו ההודעות. קרדיט: יח"צ

לדברי עידו נאור, חוקר בכיר בקספרסקי, החידושים בתקיפה האחרונה הם קודם כל השימוש בפייסבוק כפלטפורמת תקיפה, שהפכה להיות פופולרית בשימושים שונים, גם על ידי החמאס, כפי שעלה במספר אירועים שתועדו. בנוסף, התוקפים מובילים את הקורבנות להוריד גרסת אנדרואיד, בעוד שבשנה שעברה הכילה התקיפה גרסת חלונות בלבד.

לחיצה על הלינק בפוסט הפייסבוק תוביל את הקורבן לדף פישינג המכיל שתי אופציות הורדה:

  1. גרסת אנדרואיד (קובץ apk)
  2. גרסת חלונות (קובץ exe)
אתר הפישינג. קרדיט: יח"צ

גרסת אנדרואיד

התוקפים הטמיעו באפליקציה תוכנה בשם WebMonitor Enterprise, פתרון של חברת RevCode לאנשי System ו-IT. התוכנה מקנה לתוקף שליטה מלאה מרחוק, כולל אפשרות למשלוח פקודות דרך ממשק מבוסס דפדפן. בין הפקודות – אפשרות האזנה לאודיו, שמירה וניהול שיחות, צילום באמצעות המצלמה, ניהול קבצים, מעקב אחרי מיקום, ניהול תקשורת אלחוטית, צפיה ב-SMS, גישה לאנשי קשר , ועקיפת כל מנגנון ההרשאות המובנה באנדרואיד. שרת התקיפה מוצפן וכן גם שם דף ה-PHP המקבל את המידע מאפליקציית האנדרואיד הזדונית.  בעת ההתקנה מתבצעת פניה לשרת והבקשה מודיעה לשרת כאשר הושגה שליטה על קורבן נוסף שהתקין את האפליקציה הזדונית.

גרסת חלונות

התוקפים השתמשו בגרסה דומה לזו שהשתמשו בשנה שעברה. הם הטמיעו חלק מאפליקצייה לשליטה מרחוק בשם Elsinore ScreenConnect. בעת הרצה של התוכנה, היא מתקשרת עם שרת מרוחק משם ניתן להוציא פקודות אל מחשב הקורבן, ממש כמו תוכנות מוכרות יותר כמו TeamViewer או AnyDesk. התוקפים לקחו רק חלק מהקוד של התוכנה מפני שלא היה להם צורך בממשק שבמחשב הקורבן (על מנת שלא יסגור את התקשורת).

פייסבוק קיבלה את הדיווח על התקיפה מקספרסקי והורידה מהר את הדף. חשוב לציין כי בזכות עירנות הגולשים שדיווחו לקספרסקי, ההערכה היא כי התקיפה נחסמה בשלב מוקדם וכי מספר הקורבנות היה מועט. זהות התוקפים אינה ידועה בשלב זה.

אנו במערכת האתר, מזכירים כאשר אתם נתקלים בפוסטים דומים, או שמדליקים אצלכם נורה אדומה,הנכם מתבקשים שלא ללחוץ על הלינקים בפייסבוק או בכל רשת חברתית אחרת. יש להוריד אפליקציות אך ורק מהחנות הרשמית או ממקורות אמינים, וחשוב לא פחות לשים לב להרשאות גישה שאותן האפליקציה מבקשת.

Benny Hai
בן 22, במהלך שירות צבאי ביחידת ממר"ם, מאזן את הזמן כדי לכתוב פה וגם לתרום כמה שאפשר למערכת הצבאית. איש תקשורת ומעורב בתחום המחשבים והחומרה. נכנסתי לא מזמן לתחום האוברקלוק אקסטרים בHWBOT. חולה טכנולוגיה.
דילוג לתוכן