کشف نسخه جدید بدافزار XCSSET؛ سرقت ارز دیجیتال از کاربران مک

مایکروسافت اخیراً یک گونه جدید از بدافزار XCSSET را در حملاتی شناسایی کرده که روی سیستم‌های macOS تمرکز دارد و به‌طور خاص اطلاعات حساس کاربران، از جمله کیف پول‌های ارز دیجیتال و داده‌های برنامه Notes، را هدف قرار می‌دهد. بدافزار XCSSET از طریق پروژه‌های آلوده Xcode منتشر می‌شود و دست‌کم پنج سال سابقه فعالیت دارد. در هر به‌روزرسانی، قابلیت‌های آن گسترش می‌یابد و این اولین ارتقا پس از سال ۲۰۲۲ محسوب می‌شود. تیم اطلاعات تهدید مایکروسافت دریافته است که این گونه جدید دارای پنهان‌سازی پیشرفته‌تری در کد و روش‌های ماندگاری (Persistence) بهبودیافته است. برای مثال، از تکنیک‌های رمزگذاری چندلایه نظیر Base64 و xxd (hexdump) با تکرارهای متفاوت استفاده می‌کند تا تحلیل کد را سخت‌تر سازد. همچنین، بدافزار برای پایداری خود از دو روش متفاوت بهره می‌گیرد: ایجاد تغییر در فایل پیکربندی zsh (زیرعنوان zshrc) و دستکاری Dock. در روش نخست، فایل جدیدی به نام ~/.zshrc_aliases ایجاد می‌کند که کد بدافزار را دربر دارد...

ادامه مطلب

حذف تاریخچه موقعیت مکانی از ویندوز

مایکروسافت به‌تازگی اعلام کرده است که قابلیت «تاریخچه موقعیت مکانی» (Location History) در ویندوز را حذف و اصطلاحاً منسوخ می‌کند. این ویژگی، که پیش‌تر به برنامه‌ها و سرویس‌هایی نظیر دستیار مجازی کورتانا اجازه می‌داد تا به سوابق موقعیت دستگاه در ۲۴ ساعت گذشته دسترسی داشته باشند، در ویندوز ۱۰ و ۱۱ دیگر ذخیره نخواهد شد و تنظیمات مرتبط با آن نیز به‌زودی از بخش تنظیمات سیستم عامل حذف می‌شود. بر اساس این تغییر، مایکروسافت API پشت این قابلیت را به نام Geolocator.GetGeopositionHistoryAsync از دسترس خارج می‌کند. پیش‌تر، این API با ذخیره محلی داده‌های موقعیت دستگاه در بازه‌ای محدود، به برخی از اپلیکیشن‌ها اجازه می‌داد تا بتوانند اطلاعات مکانی چند ساعت گذشته را نیز بازیابی کنند. هرچند در عمل، مایکروسافت اشاره کرده است که داده‌های موقعیتی فقط وقتی ثبت می‌شد که یک برنامه یا سرویس فعالانه درخواست داده‌های موقعیت را ارسال می‌کرد و این اقدام نیز حداکثر یک‌بار در ثانیه انجام می‌شد. در زمینه چرایی حذف ای...

ادامه مطلب

قابلیت هوشمند کروم برای محافظت لحظه‌ای

مرورگر گوگل کروم در جدیدترین به‌روزرسانی خود، ویژگی «Enhanced protection» یا همان حفاظت پیشرفته را با فناوری هوش مصنوعی ترکیب کرده است تا در زمان واقعی (Real-time) از کاربران در برابر وب‌سایت‌ها، دانلودها و افزونه‌های خطرناک محافظت کند. این قابلیت که پس از مدتی آزمایش در کانال Canary، اکنون در نسخه پایدار کروم برای همه سیستم‌عامل‌ها در دسترس قرار گرفته است، بخشی از ویژگی Safe Browsing محسوب می‌شود و هدف آن افزایش امنیت کاربران در فضای وب است. پیش‌تر، گوگل اعلام کرده بود که مرورگر کروم از «محافظت پیشگیرانه» برای تشخیص وب‌سایت‌ها و محتوای مشکوک استفاده می‌کند؛ اما با ادغام فناوری هوش مصنوعی، حالا این ابزار می‌تواند در لحظه الگوهای رفتاری وب‌سایت‌ها یا فایل‌های جدید را پردازش کرده و نسبت به موارد بالقوه خطرناک هشدار بدهد. از آنجا که بسیاری از بدافزارها و حملات فیشینگ مدام تغییر شکل می‌دهند یا از روش‌های جدید برای دور زدن سیستم‌های امنیتی استفاده می‌کنند، به‌کارگیری الگوریتم‌های هوش مصنوعی ...

ادامه مطلب

نفوذ به BeyondTrust با بهره‌برداری از آسیب‌پذیری PostgreSQL به‌عنوان روز-صفر

تیم تحقیقات امنیتی Rapid7 اعلام کرد که مهاجمان در ماه دسامبر از یک آسیب‌پذیری روز-صفر در PostgreSQL برای نفوذ به شبکه شرکت BeyondTrust استفاده کرده‌اند. این حمله منجر به نقض امنیتی در ۱۷ نمونه از سرویس‌های SaaS پشتیبانی از راه دور BeyondTrust شد. BeyondTrust در گزارش خود تأیید کرده است که مهاجمان با استفاده از دو آسیب‌پذیری روز-صفر به شناسه‌های CVE-2024-12356 و CVE-2024-12686 و یک کلید API سرقت‌شده به سیستم‌های این شرکت نفوذ کرده‌اند. ارتباط با حمله به خزانه‌داری ایالات متحده در ژانویه ۲۰۲۵، وزارت خزانه‌داری آمریکا اعلام کرد که شبکه آن با استفاده از یک کلید API سرقت‌شده در سرویس BeyondTrust مورد حمله قرار گرفته است. این نفوذ توسط هکرهای تحت حمایت دولت چین، گروه Silk Typhoon انجام شده که در حملات جاسوسی سایبری و سرقت اطلاعات دست دارد. Silk Typhoon در این حمله، نهادهای حساس زیر را هدف قرار داد:✔ کمیته سرمایه‌گذاری خارجی در ایالات متحده (CFIUS) که بررسی ریسک‌های امنیت ملی مرتبط با سرم...

ادامه مطلب

پرداخت بیش از ۲.۳ میلیون دلار جایزه باگ بانتی توسط متا در ۲۰۲۴

شرکت متا، مالک فیس‌بوک، اینستاگرام و واتس‌اپ، در سال ۲۰۲۴ بیش از ۲.۳ میلیون دلار به پژوهشگران امنیتی در قالب برنامه باگ بانتی خود پرداخت کرده است. طبق اعلام این شرکت، در سال گذشته نزدیک به ۱۰,۰۰۰ گزارش آسیب‌پذیری دریافت شده که از این تعداد، حدود ۶۰۰ گزارش واجد شرایط دریافت جایزه بوده‌اند. در مجموع، نزدیک به ۲۰۰ پژوهشگر امنیتی از این برنامه پاداش دریافت کرده‌اند. این برنامه از سال ۲۰۱۱ تاکنون، بیش از ۲۰ میلیون دلار جایزه به محققانی که آسیب‌پذیری‌های امنیتی در محصولات متا را کشف کرده‌اند، پرداخت کرده است. محصولات تحت پوشش این برنامه شامل Facebook، Messenger، Instagram، WhatsApp، Workplace، Meta Quest، Ray-Ban Stories، Meta AI و کدهای متن‌باز متا هستند. مبالغ جوایز برای آسیب‌پذیری‌های مختلف بر اساس دستورالعمل‌های متا، پژوهشگران می‌توانند تا ۳۰۰,۰۰۰ دلار برای آسیب‌پذیری‌هایی که به اجرای کد در اپلیکیشن‌های موبایل منجر می‌شوند، دریافت کنند. سایر مبالغ جوایز عبارتند از:🔹 ۱۴۵,۰۰۰ دلار برای ...

ادامه مطلب

نفوذ هکرهای چینی به شبکه‌های مخابراتی آمریکا از طریق روترهای سیسکو

هکرهای وابسته به دولت چین، تحت عنوان Salt Typhoon (RedMike)، همچنان به هدف قرار دادن شبکه‌های مخابراتی در سراسر جهان ادامه می‌دهند و اخیراً توانسته‌اند به شبکه‌های چندین ارائه‌دهنده خدمات اینترنتی (ISP) در آمریکا نفوذ کنند. این حملات از طریق روترهای سیسکو IOS XE که وصله‌های امنیتی آن‌ها نصب نشده بود، انجام شده است. بر اساس گزارش گروه تحقیقات تهدیدات Insikt Group (متعلق به Recorded Future)، مهاجمان از دو آسیب‌پذیری امنیتی CVE-2023-20198 و CVE-2023-20273 برای اجرای دستورات از راه دور و افزایش سطح دسترسی سوءاستفاده کرده‌اند. اهداف و گستره حمله این حملات تاکنون باعث نقض امنیتی در چندین ارائه‌دهنده خدمات مخابراتی شده است، از جمله:✔ یک ISP در آمریکا✔ یکی از شعب آمریکایی یک اپراتور مخابراتی بریتانیایی✔ یک شرکت مخابراتی در آفریقای جنوبی✔ یک ISP ایتالیایی✔ یک اپراتور مخابراتی بزرگ در تایلند بین دسامبر ۲۰۲۴ تا ژانویه ۲۰۲۵، گروه Salt Typhoon بیش از ۱۰۰۰ روتر سیسکو را هدف قرار داده است که بیش ...

ادامه مطلب

حملات سایبری APT43 کره شمالی با استفاده از PowerShell و Dropbox

گروه هکری APT43 (Kimsuky)، که به کره شمالی منتسب است، حملات سایبری جدیدی را علیه بخش‌های دولتی، تجاری و ارزهای دیجیتال کره جنوبی انجام داده است. این عملیات که توسط شرکت Securonix با نام DEEP#DRIVE شناسایی شده، شامل فیشینگ پیشرفته و چندمرحله‌ای است که برای نفوذ به شبکه‌های هدف طراحی شده است. محققان امنیتی Den Iuzvyk و Tim Peck در گزارش خود به The Hacker News اعلام کردند که مهاجمان از اسناد فریبنده به زبان کره‌ای استفاده می‌کنند که در قالب فایل‌های .HWP، .XLSX و .PPTX ارسال شده و حاوی طعمه‌هایی مانند گزارش‌های کاری، اسناد بیمه‌ای و اطلاعات مرتبط با ارزهای دیجیتال هستند. هدف این است که کاربران فریب خورده و فایل‌ها را باز کنند، که این اقدام فرآیند آلودگی را آغاز می‌کند. مراحل حمله ۱. حمله با یک فایل ZIP حاوی میانبر ویندوز (.LNK) آغاز می‌شود که به عنوان یک سند واقعی نمایش داده می‌شود.۲. با اجرای میانبر، یک کد PowerShell اجرا می‌شود که یک سند طعمه را از Dropbox دریافت و نمایش می‌دهد، در ح...

ادامه مطلب

حملات هکرها به فایروال‌های PAN-OS از طریق دور زدن احراز هویت

مهاجمان سایبری در حال بهره‌برداری از یک آسیب‌پذیری جدید در فایروال‌های Palo Alto Networks PAN-OS هستند که به آن‌ها اجازه می‌دهد بدون احراز هویت به برخی از اسکریپت‌های PHP دسترسی داشته باشند. این نقص امنیتی با شناسه CVE-2025-0108 اخیراً اصلاح شده و دارای سطح شدت بالا است. طبق گزارش Palo Alto Networks، این آسیب‌پذیری مدیریت وب‌اینترفیس را تحت تأثیر قرار داده و در صورت سوءاستفاده، یک مهاجم بدون احراز هویت در شبکه می‌تواند به تنظیمات حساس فایروال دسترسی پیدا کند، داده‌های امنیتی را استخراج کرده یا تغییراتی در سیستم اعمال کند که منجر به کاهش سطح امنیتی سازمان شود. شرکت Palo Alto Networks در بولتن امنیتی خود که در ۱۲ فوریه ۲۰۲۵ منتشر شد، از مدیران شبکه خواست که فوراً دستگاه‌های خود را به نسخه‌های زیر به‌روزرسانی کنند تا از این تهدید در امان بمانند: 11.2.4-h4 یا جدیدتر 11.1.6-h1 یا جدیدتر 10.2.13-h3 یا جدیدتر 10.1.14-h9 یا جدیدتر نسخه PAN-OS 11.0 نیز تحت تأثیر این نقص است ام...

ادامه مطلب

آسیب‌پذیری دوم در فایروال‌های فورتینت

شرکت فورتینت در تازه‌ترین اطلاعیه خود، از وجود یک آسیب‌پذیری دیگر با شناسه CVE-2025-24472 در فایروال‌های FortiOS و FortiProxy پرده برداشته است. این نقص امنیتی در ماه ژانویه برطرف شده اما در ابتدا تصور می‌شد یک روز-صفر جدید باشد. بر اساس توضیحاتی که فورتینت پس از انتشار خبر به اشتراک گذاشت، معلوم شد این باگ که نوعی دور زدن احراز هویت محسوب می‌شود، پیش‌تر همراه با نقص CVE-2024-55591 پوشش داده شده بود و کاربرانی که طبق راهنمایی FG-IR-24-535 (مربوط به CVE-2024-55591) دستگاه‌هایشان را به‌روزرسانی کرده‌اند، از این حفره دوم نیز مصون مانده‌اند. این آسیب‌پذیری امکان می‌دهد مهاجم با ارسال درخواست‌های دستکاری‌شده CSF Proxy، به سطح دسترسی سوپرادمین دست یابد. نسخه‌های FortiOS 7.0.0 تا 7.0.16، FortiProxy 7.0.0 تا 7.0.19 و همچنین 7.2.0 تا 7.2.12 تحت تأثیر قرار گرفته و در FortiOS 7.0.17 یا بالاتر و FortiProxy 7.0.20/7.2.13 یا بالاتر برطرف شده است. همچنین، تحقیقات نشان می‌دهد مهاجمان از هر دو باگ CVE-2...

ادامه مطلب

بیش از 12,000 فایروال KerioControl در معرض حملات RCE قرار دارند!

هشدار فوری! اگر از فایروال KerioControl استفاده می‌کنید، فوراً به‌روزرسانی کنید! بیش از 12,000 فایروال KerioControl به دلیل آسیب‌پذیری CVE-2024-52875 در معرض حملات اجرای کد از راه دور (RCE) قرار دارند. این نقص امنیتی که در دسامبر 2024 توسط پژوهشگر امنیتی Egidio Romano کشف شد، به مهاجمان امکان اجرای حملات 1-کلیک RCE را می‌دهد. اگر هنوز فایروال خود را به‌روزرسانی نکرده‌اید، دستگاه شما در معرض خطر جدی است! جزئیات آسیب‌پذیری و خطرات آن 🔹 این آسیب‌پذیری به دلیل عدم فیلتر مناسب ورودی کاربر در پارامتر "dest" رخ داده است، که به مهاجمان امکان حملات HTTP Response Splitting و XSS بازتابی را می‌دهد.🔹 PoC عمومی برای این نقص منتشر شده است، بنابراین حتی هکرهای کم‌تجربه نیز قادر به سوءاستفاده از آن هستند.🔹 بیشترین تعداد دستگاه‌های آسیب‌پذیر در کشورهای ایران، ایالات متحده، ایتالیا، آلمان، روسیه، قزاقستان، ازبکستان، فرانسه، برزیل، و هند قرار دارند.🔹 شرکت GFI Software اولین وصله امنیتی را در 19 دسامب...

ادامه مطلب