کمپین DriveSurge: چگونه هزاران سایت مخروب به ابزار توزیع بدافزار تبدیل می‌شوند؟

محققان امنیت سایبری طی هفته‌های اخیر شاهد افزایش چشمگیر حملات سایبری هستند که در آن‌ها هزاران وب‌سایت مشروع به پلتفرم‌های توزیع بدافزار تبدیل شده‌اند. گروه تهدید شناخته‌شده به نام DriveSurge در پشت این عملیات گسترده قرار دارد و از دو تکنیک پیچیده به نام‌های ClickFix و FakeUpdate برای فریب کاربران استفاده می‌کند.

آناتومی یک کمپین پیچیده

DriveSurge یک عملیات چندلایه را مدیریت می‌کند که در آن وب‌سایت‌های مخروب‌شده به‌عنوان نقطه ورود اولیه عمل می‌کنند. این گروه تهدید به‌جای ایجاد زیرساخت‌های جدید، ترجیح می‌دهد سایت‌های موجود را هدف قرار دهد و از اعتبار آن‌ها سوءاستفاده کند. این رویکرد مزایای متعددی دارد: کاربران به سایت‌های شناخته‌شده اعتماد بیشتری دارند، موتورهای جستجو این سایت‌ها را قبلاً ایندکس کرده‌اند، و تشخیص فعالیت مخرب در میان ترافیک عادی دشوارتر است.

تحقیقات نشان می‌دهد که این کمپین از تابستان ۲۰۲۴ آغاز شده و به‌طور مداوم در حال گسترش است. تعداد سایت‌های درگیر در این عملیات به هزاران مورد رسیده که طیف گسترده‌ای از صنایع و جغرافیاها را پوشش می‌دهد.

تکنیک ClickFix: مهندسی اجتماعی در سطح جدید

یکی از اصلی‌ترین روش‌های این کمپین، تکنیک ClickFix است که بر پایه مهندسی اجتماعی پیشرفته بنا شده. در این روش، کاربران هنگام مراجعه به سایت‌های مخروب با پیام‌های خطایی مواجه می‌شوند که ظاهری کاملاً مشروع دارند. این پیام‌ها معمولاً ادعا می‌کنند که مشکلی در نمایش محتوا، پخش ویدیو، یا دسترسی به فایل وجود دارد.

نکته کلیدی این تکنیک در جزئیات است. پیام‌های خطا با طراحی گرافیکی حرفه‌ای و متن‌های قانع‌کننده ساخته می‌شوند که به‌ندرت شک کاربران را برمی‌انگیزند. سپس راه‌حل پیشنهادی ارائه می‌شود: کپی کردن و اجرای یک دستور در PowerShell یا ترمینال سیستم. این دستورات در واقع اسکریپت‌های مخربی هستند که بدافزار را دانلود و نصب می‌کنند.

خطر این روش در سادگی ظاهری آن نهفته است. بسیاری از کاربران، حتی افرادی که آگاهی امنیتی دارند، ممکن است در برابر پیام‌های خطای به‌ظاهر معتبر تسلیم شوند، به‌ویژه زمانی که عجله دارند یا انتظار دسترسی به محتوای خاصی را دارند.

FakeUpdate: بازی با اعتماد کاربران

تکنیک دوم که DriveSurge از آن بهره می‌برد، FakeUpdate نام دارد و سابقه‌ای طولانی در دنیای تهدیدات سایبری دارد. در این روش، کاربران با اعلان‌های جعلی به‌روزرسانی مرورگر مواجه می‌شوند که شباهت بصری زیادی به پیام‌های واقعی دارند.

این تکنیک از یک واقعیت روان‌شناختی سوءاستفاده می‌کند: کاربران به به‌روزرسانی‌های نرم‌افزاری عادت کرده‌اند و معمولاً آن‌ها را بدون تفکر زیاد تأیید می‌کنند. مهاجمان با شبیه‌سازی دقیق رابط کاربری مرورگرهای معروف مانند Chrome، Firefox، یا Edge، احتمال موفقیت حمله را افزایش می‌دهند.

آنچه این کمپین را از نسخه‌های قدیمی‌تر FakeUpdate متمایز می‌کند، سطح پیچیدگی و یکپارچگی با سایت‌های مخروب است. به‌جای نمایش پنجره‌های پاپ‌آپ مشکوک، این اعلان‌ها به‌طور یکپارچه در طراحی سایت ادغام می‌شوند و گاهی حتی از عناصر برندینگ سایت میزبان استفاده می‌کنند.

زنجیره آلودگی: از کلیک تا کنترل کامل

پس از موفقیت اولیه در فریب کاربر، زنجیره آلودگی آغاز می‌شود. بدافزار اولیه که معمولاً یک لودر (بارگذار) است، وظیفه دانلود و نصب محموله‌های بعدی را بر عهده دارد. این معماری چندمرحله‌ای چندین مزیت برای مهاجمان فراهم می‌کند.

نخست، بدافزار اولیه معمولاً کوچک و ساده است، که احتمال تشخیص توسط آنتی‌ویروس‌ها را کاهش می‌دهد. دوم، این ساختار به مهاجمان انعطاف‌پذیری می‌دهد تا بسته به هدف حمله، محموله‌های مختلفی را تحویل دهند. سوم، به‌روزرسانی و تغییر بدافزار نهایی بدون نیاز به تغییر نقطه ورود اولیه امکان‌پذیر می‌شود.

تحلیل‌های فنی نشان می‌دهد که DriveSurge از طیف گسترده‌ای از بدافزارها استفاده می‌کند، از جمله استیلرهای اطلاعات (Information Stealers)، باج‌افزارها، و ابزارهای دسترسی از راه دور (RAT). انتخاب بدافزار نهایی به‌ظاهر بر اساس ارزش هدف و اطلاعاتی که سیستم آلوده در اختیار دارد، تعیین می‌شود.

چرخه حیات سایت‌های مخروب

یکی از جنبه‌های قابل‌توجه این کمپین، نحوه مدیریت سایت‌های مخروب است. DriveSurge از یک چرخه عملیاتی پویا استفاده می‌کند که در آن سایت‌ها به‌طور مداوم اضافه، حذف، یا تغییر می‌یابند. این تاکتیک چندین هدف را دنبال می‌کند.

تنوع زیرساخت باعث می‌شود که مسدود کردن کامل این کمپین دشوار باشد. حتی اگر صدها سایت شناسایی و مسدود شوند، صدها سایت دیگر آماده جایگزینی هستند. همچنین، این چرخه سریع به مهاجمان اجازه می‌دهد تا از سایت‌های تازه مخروب‌شده استفاده کنند که هنوز در لیست‌های سیاه امنیتی قرار نگرفته‌اند.

محققان امنیتی همچنین متوجه شده‌اند که برخی سایت‌ها فقط برای مدت کوتاهی فعال می‌شوند و سپس به حالت عادی برمی‌گردند. این تاکتیک «hit-and-run» تشخیص و پاسخ‌دهی به حملات را پیچیده‌تر می‌کند، چرا که زمانی که مدیران سایت متوجه آلودگی می‌شوند، ممکن است کمپین مخرب قبلاً متوقف شده باشد.

بردار حمله: آسیب‌پذیری یا اعتبارنامه‌های سرقت‌شده؟

سؤال مهمی که مطرح می‌شود این است که DriveSurge چگونه به این تعداد زیاد سایت دسترسی پیدا کرده است. تحلیل‌های اولیه به دو مسیر اصلی اشاره می‌کنند: بهره‌برداری از آسیب‌پذیری‌های نرم‌افزاری و استفاده از اعتبارنامه‌های سرقت‌شده.

بسیاری از سایت‌های کوچک و متوسط از سیستم‌های مدیریت محتوای محبوب مانند WordPress، Joomla، یا Drupal استفاده می‌کنند. اگر این سیستم‌ها یا افزونه‌های آن‌ها به‌روز نباشند، آسیب‌پذیری‌های شناخته‌شده می‌توانند نقطه ورود مهاجمان باشند. DriveSurge به‌ظاهر از ابزارهای خودکار برای اسکن و شناسایی این آسیب‌پذیری‌ها استفاده می‌کند.

مسیر دوم، استفاده از اعتبارنامه‌های سرقت‌شده است. در سال‌های اخیر، حملات فیشینگ و نشت اطلاعات منجر به افشای میلیون‌ها ترکیب نام کاربری و رمز عبور شده است. مهاجمان با استفاده از این اطلاعات و تکنیک‌های credential stuffing می‌توانند به پنل‌های مدیریتی سایت‌ها دسترسی پیدا کنند.

تأثیر بر اکوسیستم دیجیتال

این کمپین تنها برای کاربران نهایی خطرناک نیست، بلکه به صاحبان سایت‌های مخروب نیز آسیب جدی وارد می‌کند. زمانی که یک سایت در این کمپین شرکت داده می‌شود، حتی به‌صورت ناخواسته، عواقب متعددی به دنبال دارد.

نخست، اعتبار و اعتماد کاربران به سایت از بین می‌رود. کاربرانی که قربانی این حملات می‌شوند، دیگر به آن سایت مراجعه نخواهند کرد و ممکن است دیگران را نیز از استفاده از آن منصرف کنند. دوم، موتورهای جستجو سایت‌های مخرب را شناسایی و رتبه‌بندی آن‌ها را کاهش می‌دهند یا حتی از نتایج جستجو حذف می‌کنند.

همچنین، ارائه‌دهندگان خدمات میزبانی ممکن است سایت‌های آلوده را تعلیق کنند تا از گسترش آلودگی جلوگیری کنند. این تعلیق می‌تواند برای کسب‌وکارهای آنلاین که به درآمد روزانه از وب‌سایت خود وابسته هستند، ضرر مالی قابل‌توجهی به همراه داشته باشد.

چالش‌های تشخیص و مقابله

یکی از دلایل موفقیت DriveSurge، پیچیدگی تشخیص این حملات است. تکنیک‌های مورد استفاده به‌گونه‌ای طراحی شده‌اند که از لایه‌های متعدد مبهم‌سازی و فریب استفاده می‌کنند.

در حملات ClickFix، دستورات مخرب معمولاً با استفاده از رمزگذاری یا کدگذاری پنهان می‌شوند. این بدان معناست که حتی اگر کاربر محتوای دستور را قبل از اجرا بررسی کند، درک منظور واقعی آن دشوار است. علاوه بر این، برخی از این دستورات از تکنیک‌های پیشرفته‌ای مانند Living off the Land (LotL) استفاده می‌کنند، که در آن ابزارهای قانونی سیستم‌عامل برای اهداف مخرب به کار گرفته می‌شوند.

در مورد FakeUpdate، تشخیص به همان اندازه چالش‌برانگیز است. صفحات جعلی از تکنیک‌های anti-fingerprinting استفاده می‌کنند تا از تحلیل توسط ابزارهای امنیتی خودکار جلوگیری کنند. برای مثال، ممکن است محتوای مخرب تنها برای بازدیدکنندگانی که از IP خاص، مرورگر خاص، یا در زمان خاصی مراجعه می‌کنند، نمایش داده شود.

راهکارهای حفاظتی برای کاربران

در برابر چنین تهدیدات پیچیده‌ای، کاربران باید چندین لایه دفاعی را اعمال کنند. اولین و مهم‌ترین خط دفاع، آگاهی و شک سالم است. هیچ‌گاه نباید دستوراتی را که از وب‌سایت‌ها کپی می‌شوند، بدون درک کامل در ترمینال یا PowerShell اجرا کرد.

به‌روزرسانی‌های واقعی مرورگر هرگز از کاربر نمی‌خواهند که فایلی را دانلود کنند یا دستوری را اجرا کنند. مرورگرهای مدرن به‌طور خودکار به‌روزرسانی می‌شوند یا از طریق تنظیمات داخلی خود این کار را انجام می‌دهند. هرگونه درخواست دانلود فایل برای به‌روزرسانی مرورگر باید مشکوک تلقی شود.

استفاده از نرم‌افزارهای امنیتی به‌روز و معتبر نیز ضروری است. اگرچه این ابزارها نمی‌توانند تضمین صددرصدی ارائه دهند، اما بسیاری از تهدیدات شناخته‌شده را مسدود می‌کنند. فعال‌سازی ویژگی‌های امنیتی مرورگر مانند Safe Browsing در Chrome یا Enhanced Tracking Protection در Firefox نیز می‌تواند لایه حفاظتی اضافی فراهم کند.

کاربران پلتفرم‌های مختلف که برای فعالیت‌های حساس از حساب‌های کاربری استفاده می‌کنند، باید به‌ویژه محتاط باشند. حملات ClickFix و FakeUpdate می‌توانند به سرقت اعتبارنامه‌های ورود، توکن‌های احراز هویت، و سایر اطلاعات حساس منجر شوند. در این زمینه، آگاهی از تکنیک‌های فریب و اتخاذ رویه‌های امنیتی مناسب برای حفاظت از حساب‌های کاربری اهمیت حیاتی دارد.

مسئولیت مدیران وب‌سایت

صاحبان و مدیران وب‌سایت‌ها نیز نقش مهمی در جلوگیری از این حملات دارند. اولین قدم، اطمینان از به‌روز بودن تمام نرم‌افزارهای سایت است. این شامل سیستم مدیریت محتوا، افزونه‌ها، قالب‌ها، و کتابخانه‌های جاوااسکریپت می‌شود.

پیاده‌سازی رمزهای عبور قوی و منحصربه‌فرد برای تمام حساب‌های مدیریتی ضروری است. استفاده از احراز هویت دومرحله‌ای (2FA) برای پنل مدیریت می‌تواند حتی در صورت نشت رمز عبور، از دسترسی غیرمجاز جلوگیری کند. همچنین، محدود کردن تعداد حساب‌های کاربری با دسترسی مدیریتی و نظارت منظم بر فعالیت‌های این حساب‌ها توصیه می‌شود.

نصب ابزارهای نظارتی و امنیتی که تغییرات غیرمنتظره در فایل‌های سایت را شناسایی می‌کنند، می‌تواند به تشخیص زودهنگام آلودگی کمک کند. بسیاری از ارائه‌دهندگان میزبانی وب، سرویس‌های اسکن امنیتی خودکار ارائه می‌دهند که باید فعال شوند.

چشم‌انداز آینده تهدیدات

کمپین DriveSurge نمونه‌ای از تکامل مداوم تهدیدات سایبری است. مهاجمان به‌طور مستمر تکنیک‌های خود را بهبود می‌بخشند و به روش‌های جدیدی برای فریب کاربران و سیستم‌های امنیتی دست می‌یابند.

انتظار می‌رود که در آینده، این حملات پیچیده‌تر و هدفمندتر شوند. استفاده از هوش مصنوعی برای شخصی‌سازی پیام‌های فریب، بهره‌برداری از آسیب‌پذیری‌های روز صفر، و ترکیب چندین تکنیک حمله در یک کمپین واحد، از جمله روندهایی است که محققان امنیتی پیش‌بینی می‌کنند.

با این حال، جامعه امنیت سایبری نیز در حال پیشرفت است. توسعه ابزارهای تشخیص مبتنی بر یادگیری ماشین، بهبود همکاری بین‌المللی برای تعقیب مجرمان سایبری، و افزایش آگاهی عمومی درباره تهدیدات دیجیتال، همگی به تقویت دفاع در برابر این حملات کمک می‌کنند.

نتیجه‌گیری

کمپین DriveSurge یادآور این واقعیت است که امنیت سایبری یک مسئولیت مشترک است. کاربران، مدیران وب‌سایت، شرکت‌های امنیتی، و ارائه‌دهندگان خدمات، همگی باید نقش خود را در ایجاد یک اکوسیستم دیجیتال امن‌تر ایفا کنند.

درک تکنیک‌های حمله مانند ClickFix و FakeUpdate، اولین قدم در دفاع مؤثر است. با ترکیب آگاهی، ابزارهای فنی مناسب، و رویه‌های امنیتی سالم، می‌توان خطر این تهدیدات را به‌طور قابل‌توجهی کاهش داد. در نهایت، هوشیاری و شک سالم، قوی‌ترین سلاح در برابر مهندسی اجتماعی پیشرفته باقی می‌ماند.