محققان امنیتی هشدار داده‌اند که مهاجمان به‌صورت فزاینده‌ای از نوعی “بسته‌های نرم‌افزاری فیشینگ” موسوم به Transparent Reverse Proxy Kits برای دورزدن روش “احراز هویت چندعاملی” استفاده می‌کنند.

به گزارش مرکز مدیریت راهبردی افتا، مهاجمان سایبری، همچنین تکنیک‌هایی مانند “مرد میانی”  را برای سرقت اطلاعات اصالت‌سنجی در MFA بکار می‌گیرند.

ازآنجایی‌که نظرسنجی‌های اخیر پذیرش 78 درصدی کاربران و کسب‌وکارها را از روش احراز هویت چندعاملی (MFA) در سال 2021 نشان می‌دهد، مجرمان سایبری نیز به‌سرعت در حال به‌کارگیری ابزارهای فیشینگ برای دورزدن MFA هستند. این ابزارهای مخرب به‌سرعت درحال‌توسعه هستند؛ از بسته‌های نرم‌افزاری منبع‌باز ساده و بی زرق‌وبرق گرفته که در دسترس عموم هستند تا بسته‌های پیچیده که دارای لایه‌های متعدد مخفی‌سازی و ماژول‌های جانبی مختلف برای سرقت نام‌های کاربری، رمزهای عبور، اطلاعات اصالت‌سنجی MFA، شماره‌های ملی افراد و شماره‌های کارت اعتباری.

یکی از روش‌های این ابزارهای فیشینگ که به‌طور ویژه موردتوجه محققان قرار گرفته، استفاده آن‌ها از پروکسی‌های موسوم به Transparent Reverse Proxy – به‌اختصار TPR – است که مهاجمان را قادر می‌کند تا به عملیات و اطلاعات کاربر در زمان کار با مرورگر دسترسی داشته باشند. این رویکرد MiTM به مهاجمان اجازه می‌دهد ضمن مخفی ماندن، هنگام واردکردن یا نمایش اطلاعات روی صفحه‌نمایش، اطلاعات را جمع‌آوری کنند.

این شیوه، تغییر روندی بزرگ نسبت به روش‌های فیشینگ سنتی است که در آن مهاجمان برای سرقت اطلاعات اصالت‌سنجی، سایت‌هایی جعلی ایجاد می‌کردند. به‌عنوان‌مثال، اقدام به جعل صفحه ورود (Log-in Page) سیستم واقعی Windows می‌کردند تا قربانیان خود را فریب داده و کاربران رمزهای عبور خود را در آن صفحات جعلی وارد کنند. البته در رویکرد سنتی امکان خطا و اشتباه زیاد بود. مواردی همچون استفاده از علائم تجاری قدیمی شرکت‌ها، اشتباهات املایی و انشایی، باعث لو رفتن و شناسایی شدن سایت‌ها و صفحات جعلی می‌شد.

این در حالی است که نتایج تحلیل محققان نشان می‌دهد که ابزارهای TPR، سایت واقعی را به قربانی نشان می‌دهند. صفحات سایت واقعی، مدرن و پویا بوده و مرتباً در حال تغییر هستند؛ بنابراین، ارائه سایت واقعی به‌جای نسخه جعلی آن، موجب فریب افراد شده و کاربر با خیال راحت وارد سایت می‌شود. در همین حال، مهاجمان با سرقت فایل‌های کوکی (cookies)، قادر خواهند بود بدون نیاز به نام کاربری، رمز عبور و یا اطلاعات اصالت‌سنجی MFA، به‌حساب کاربری موردنظر دسترسی یابند.

نتایج تحقیقات محققان نشان می‌دهد که اخیراً به‌طور خاص به‌کارگیری سه ابزار فیشینگ که از روش TRP استفاده می‌کنند، افزایش‌یافته است.

Modliska

Modliska توسط یک محقق امنیتی لهستانی تهیه و از اواخر سال 2018 منتشر شده است. محققان اعلام کردند که این ابزار ساده به کاربران امکان می‌دهد در هر زمان فقط اطلاعات اصالت‌سنجی مربوط به یک سایت را سرقت کنند. این ابزار یک واسط خط فرمان (Command Line Interface) دارد و از یک رابط کاربری گرافیکی برای سرقت اطلاعات کاربری و اطلاعات سایت‌های در حال استفاده کاربر، بهره می‌برد.

Muraena/Necrobrowser

Muraena/Necrobrowser ابزاری است که برای اولین‌بار در سال 2019 منتشر شد و از دو بخش تشکیل‌شده است. در بخش اول،Muraena در سمت سرور اجرا می‌شود و از یک برنامه پویشگر (crawler) برای پویش سایت موردنظر استفاده می‌کند تا مطمئن شود که آیا به‌درستی می‌تواند تمام ترافیک موردنیاز را بازنویسی کند به‌گونه‌ای که قربانی متوجه نشود. این ابزار، اطلاعات اصالت‌سنجی قربانی و اطلاعات فایل کوکی مرورگر را جمع‌آوری و سپس در بخش دوم، Necrobrowser را نصب می‌کند.

Necrobrowser یک مرورگر فاقد سربرگ (Headless Browser) است یعنی یک مرورگری بدون رابط کاربری گرافیکی که برای خودکارسازی عملیات استفاده‌شده و از اطلاعات کوکی‌های به سرقت رفته برای ورود به سایت موردنظر و انجام کارهایی همچون تغییر رمز عبور، غیرفعال‌کردن اعلان‌های Google Workspace، ارسال ایمیل و … استفاده می‌کند.

Evilginx2

Evilginx2 یک ابزار نرم‌افزاری مبتنی بر زبان Golang است که در ابتدا توسط یکی از محققان امنیتی به‌عنوان یک ابزار تست نفوذ (Pen-Testing tool) ساخته شد. از بارزترین مشخصه‌های آن می‌توان به نصب آسان و امکان استفاده از فایل‌های موسوم به Phishlet اشاره کرد که از پیش نصب‌شده است. فایل‌های Phishlet، فایل‌های پیکربندی از نوع   YAML هستند که برای پیکربندی پراکسی (Proxy) در سایت هدف استفاده می‌شوند.

هنگامی‌که قربانی برای ورود بر روی نشانی اینترنتی کلیک می‌کند، پیوند مخرب او را به صفحه‌ای امن منتقل می‌کند، جایی که مهاجمان رمزهای عبور، اطلاعات اصالت‌سنجی MFA و فایل‌های کوکی آن سایت را سرقت می‌کنند. در این زمان، قربانی یا به صفحه دیگری هدایت می‌شود یا در همان صفحه می‌ماند. مهاجم سپس می‌تواند از اطلاعات فایل کوکی به سرقت رفته سوءاستفاده کرده و به‌جای قربانی وارد آن صفحه شود و اقدامات متعددی مانند تغییر رمز عبور و کپی‌کردن داده‌ها را انجام دهد و خود را به‌جای قربانی معرفی کند.

گرچه این ابزارها جدید نیستند اما به‌طور فزاینده‌ای برای دورزدن روش احراز هویت MFA استفاده می‌شوند و باتوجه‌به اینکه در سایت VirusTotal شناسایی نمی‌شوند، موجب نگرانی محققان امنیتی شده‌اند.

 اخیراً محققان دانشگاه Stony Brook و محققان Palo Alto Networks ابزاری را طراحی و ساخته‌اند که از طریق آن توانسته‌اند 1200 سایت فیشینگ مبتنی بر MitM را تشخیص دهند. بااین‌حال، تنها 43.7 درصد از این دامنه‌ها و 18.9 درصد از نشانی‌های IP آن‌ها در سایت VirusTotal شناسایی‌شده است، علی‌رغم اینکه طول عمر آن‌ها تا 20 روز یا در برخی موارد بیشتر بوده است.

به گفته محققان، ازآنجایی‌که امروزه سازمان‌های بیشتری از روش MFA استفاده می‌کنند، مهاجمان به‌سرعت به سمت تکنیک‌ها و ابزارهای رایگانی همچون ابزارهای MitM روی آورده‌اند زیرا نصب آن‌ها بسیار آسان است و اغلب توسط محصولات امنیتی یا سایت پویش آنلاین همچون VirusTotal شناسایی نمی‌شوند. ازاین‌رو یافتن راهکاری برای مقابله با این نقاط کور قبل از تکامل بیشتر این‌گونه حملات بسیار ضروری است.

جزئیات بیشتر در خصوص ابزارهای فیشینگ در نشانی زیر قابل‌مطالعه است:

https://www.proofpoint.com/us/blog/threat-insight/mfa-psa-oh-my

منبع: 

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2026/Staging/%D8%B1%D9%88%D8%B4%DB%8C-%D8%A8%DB%8C%E2%80%8C%D8%B3%D8%B1%D9%88%D8%B5%D8%AF%D8%A7-%D8%A8%D8%B1%D8%A7%DB%8C-%D8%AF%D9%88%D8%B1%D8%B2%D8%AF%D9%86-%D8%A7%D8%AD%D8%B1%D8%A7%D8%B2-%D9%87%D9%88%DB%8C%D8%AA-%DA%86%D9%86%D8%AF%D8%B9%D8%A7%D9%85%D9%84%DB%8C

(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)