بهره‌برداری گروه نفوذ Cobalt از موتور برنامه‌ی گوگل در پویش اخیر

گروه نفوذ Cobalt به تازگی از موتور برنامه‌ی گوگل برای توزیع فایل‌های مخرب پی‌دی‌اف بهره می‌برند. این گروه از سال ۲۰۱۶ میلادی فعال بوده و به کشور روسیه نسبت داده می‌شود. در پویش جدید توسط این گروه از روش هدایت مجدد URL از طریق اسناد پی‌دی‌اف استفاده می‌شود. URL های HTTPS به موتور برنامه‌ی گوگل اشاره می‌کنند تا کاربر به این گمان برسد که از برنامه‌ی قانون و امن مانند گوگل بهره می‌برد. سند مخرب توسط رایانامه تحویل داده شده و با برنامه‌ی Adobe Acrobat 18.0 ایجاد شده است. در این سند URL مخرب با Flat Decode به حالت فشرده در آمده است.

 

برنامه‌های مشاهده‌ی پی‌دی‌اف معمولا در هنگام هدایت به یک وب‌سایت، به کاربر هشداری را نشان می‌دهند. در این مورد هدایت به وب‌سایت appengine.google.com نشان داده می‌شود که کاربر به آن اعتماد دارد. توسط این پی‌دی‌اف مخرب، یک سند مایکروسافت ورد دانلود می‌شود که دارای ماکروهای مخرب بوده و پس از فعال‌سازی، بار داده‌ی مرحله‌ی بعد را دریافت می‌کند. محققان امنیتی اعلام کرده‌اند این پویش جدید، بیش از ۲۰ بانک و موسسه‌ی مالی و دولتی را هدف قرار داده است.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید