תוקפים מתחזים לפרויקטים פופולריים כדי להדביק מכשירים של אנשי IT
התוקפים השתמשו באתרים מזויפים שהתחזו לפרויקטים פתוחים כמו Zenmap ו־RVTools, כדי להפיץ קוד זדוני למכשירים של אנשי IT
תמונה: נוצרה באמצעות AI
קמפיין קידום אתרים זדוני (SEO poisoning) שמשמש להפצת נוזקת Bumblebee התגלה כמתוחכם וממוקד במיוחד: התוקפים מתחזים לפרויקטים פתוחים פופולריים בהם RVTools, Zenmap ו-WinMTR כדי להדביק מכשירים של אנשי IT, כך על פי דיווח של אתר BleepingComputer.
לפי הדיווח, הקמפיין מתבסס על שימוש בדומיינים עם שמות דומים לכלים מוכרים. לדוגמה, זוהו מקרים שבהם נעשה שימוש בשמות Zenmap (הממשק הגרפי של כלי הסריקות Nmap)ו־WinMTR לצורך הפצת גרסאות זדוניות. מדובר בכלים פופולריים לאבחון וניתוח תעבורת רשת, שרבים מהם דורשים גם הרשאות ניהול, מה שהופך את המשתמשים בהם למטרות אטרקטיביות במיוחד לתוקפים המעוניינים לחדור לרשתות ארגוניות ולהתפשט בתוכן.
Bumblebee הופצה, בין היתר, דרך הדומיינים zenmap[.]pro ו־winmtr[.]org. אך בעוד שהאתר האחרון כבר אינו פעיל, האתר הראשון עדיין נשאר באוויר, נכון לכתיבת שורות אלו, ומציג עמוד בלוג מזויף על Zenmap. עם זאת, מי שמגיע אליו דרך תוצאות חיפוש מקבל גרסת זיוף של האתר הרשמי של Nmap, מה שמעיד על טכניקת התחזות מתוחכמת.
שני האתרים נהנו מדירוג גבוה במנועי החיפוש Google ו-Bing, וזכו לחשיפה רחבה הודות לשיטות קידום זדוניות. מי שהיה מנסה לגלוש ישירות ל־zenmap[.]pro, היה מקבל סדרת כתבות שנוצרו באמצעות AI. תחת לשונית ההורדות באתר, הסתירו התוקפים קבצים בשם zenmap-7.97.msi ו־WinMTR.msi, אשר מצליחים להתחמק מגילוי על ידי מרבית מנועי האנטי־וירוס בפלטפורמת VirusTotal.
שני הקבצים אכן מתקינים את היישום שהובטח אך בצירוף קובץ DLL זדוני. זהו אותו תהליך זיהום שנצפה גם בהתחזות ל־RVTools: בסופו של דבר, מותקן במחשב הקורבן המטען של Bumblebee. ברגע שזה קורה, נפתחת לתוקפים גישה לניטור פעילות המשתמש, החדרת מטענים נוספים, כולל כופרות, תוכנות ריגול או נוזקות נוספות, והעמקת השליטה ברשת הארגונית.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
בנוסף ל־Zenmap ו־WinMTR, הקמפיין הזדוני הופנה גם כלפי משתמשים שחיפשו להוריד את WisenetViewer, תוכנת ניהול מצלמות האבטחה של Hanwha. בנוסף, חוקר אבטחה מחברת Cyjax איתר גרסה מזויפת של תוכנת ניהול הווידאו Milestone XProtect, שהופצה דרך האתר milestonesys[.]org, שגם הוא עדיין פעיל נכון לעת הזו.
אתרי RVTools הרשמיים הושבתו
בזמן שההתחזויות נמשכות, אתרי ההורדה הרשמיים של RVTools בכתובות Robware.net ו־RVTools.com, אינם זמינים ומציגים אזהרה למשתמשים שלא להוריד את הכלי מאתרים לא רשמיים. עם זאת, ההורדה הרשמית של הכלי אינה זמינה כרגע גם שם.
לאחר שהופצו האשמות לפיהן גם האתר הרשמי הפיץ גרסה נגועה של התוכנה, חברת Dell Technologies פרסמה הכחשה רשמית וטענה כי האתרים שלה לא הפיצו גרסה נגועה של המוצר. לדברי החברה, האתרים הושבתו בעקבות מתקפות מניעת שירות (DDoS) מתואמות. אחת ההשערות היא כי התוקפים עצמם אחראים להשבתה, בניסיון לכוון משתמשים המחפשים את הכלי לאתרים הזדוניים.
איך לא ליפול בפח?
כמו תמיד, הטיפ הכי טוב הוא כנראה גם הטיפ הכי ותיק: תקפידו להוריד תוכנות רק רק ממקורות רשמיים ומנהלי חבילות אמינים.. במקביל, בנוסף, כדאי לבדוק את ה־hash של קובץ ההתקנה שהורדתם מול גרסה ידועה ונקייה לפני שמריצים אותו.
