محققان امنیت سایبری در مورد کمپین فیشینگ هدفمند جدیدی هشدار دادند که از ابزار دسترسی از راه دور Netbird برای هدف قرار دادن مدیران ارشد مالی (CFO) و مدیران مالی در بانکها، شرکتهای انرژی، بیمهها و شرکتهای سرمایهگذاری در سراسر اروپا، آفریقا، کانادا، خاورمیانه و جنوب آسیا استفاده میکند.
محقق Trellix، در تحلیلی گفت: در عملیات فیشینگ چند مرحلهای، مهاجمان ابزار دسترسی از راه دور قانونی NetBird مبتنی بر wireguard را در رایانه قربانی مستقر کردند. این فعالیت به هیچ عامل یا گروه تهدید شناخته شدهای نسبت داده نشده است. نقطه شروع حمله، ایمیل فیشینگی است که به گونهای طراحی شده که گیرندگان را به باز کردن پیوست PDF ترغیب کند که در واقع لینک فیشینگ است و به URL میزبانی شده توسط اپ Firebase هدایت میشود. نکته قابل توجه در مورد این آلودگی این است که URL ریدایرکت واقعی به صورت رمزگذاری شده در صفحه ذخیره میشود و تنها پس از حل بررسی تأیید CAPTCHA توسط قربانی قابل دسترسی است که در نهایت منجر به دانلود آرشیو ZIP میشود.
اسکریپت ویژوال بیسیک (VBScript) موجود در این آرشیو، مسئول بازیابی VBScript مرحله بعدی از سرور خارجی و راهاندازی آن از طریق “wscript.exe” است. این دانلودر VBScript مرحله دوم، سپس پیلود دیگری را از همان سرور دریافت میکند، نام آن را تغییر میدهد و دو فایل MSI از آن استخراج میکند: NetBird و OpenSSH. مرحله آخر شامل نصب دو برنامه روی میزبان آلوده، ایجاد حساب کاربری محلی پنهان، فعالسازی دسترسی از راه دور به دسکتاپ و حفظ NetBird از طریق وظایف برنامهریزیشده است به طوری که به طور خودکار پس از راهاندازی مجدد سیستم اجرا شود. این بدافزار همچنین هر گونه میانبر دسکتاپ NetBird را حذف میکند تا اطمینان حاصل شود که قربانی متوجه نفوذ نمیشود.
https://thehackernews.com/2025/06/fake-recruiter-emails-target-cfos-using.html
