هک اسنپ فود از طریق بدافزار StealC

بر اساس گزارش‌های منتشرشده در زمستان ۱۴۰۲، یک رخنه بزرگ امنیتی در سرویس سفارش آنلاین SnappFood خبرساز شد؛ گروهی ادعا کردند که بیش از ۳ ترابایت داده شامل میلیون‌ها رکورد کاربران را به‌دست آورده‌اند. تحلیل‌های اولیه نشان می‌دهد یکی از بردارهای مورد استفاده، یک اطلاعات‌دزد (infostealer) شناخته‌شده به نام StealC بوده است — بدافزاری که توانایی استخراج credentialها، کوکی‌ها، اطلاعات کیف‌پول‌ها و فایل‌های حساس از سیستم‌های آلوده را دارد.

StealC به‌عنوان یک «Malware-as-a-Service» در فضای زیرزمینی عرضه شده و نمونه‌های آن از اواخر ۲۰۲۲ رصد می‌شوند. این بدافزار با هدف استخراج اطلاعات ذخیره‌شده در مرورگرها، کلیدهای احراز هویت و اطلاعات فایل‌ها طراحی شده و نسخه‌های جدیدترش قابلیت‌های پنهان‌کاری و رمزنگاری کانال‌های خروجی را هم بهبود داده‌اند. این ویژگی‌ها باعث شده استفاده از آن در حملات پیشرفته و هدفمند رو به افزایش باشد.

پیامدها برای کسب‌وکارها و کاربران

• افشای credentialها و کوکی‌ها می‌تواند باعث دسترسی مهاجمان به سرویس‌های داخلی و فضای ابری شود.

• داده‌های کاربران (ایمیل، شماره تلفن، آدرس و در برخی گزارش‌ها حتی اطلاعات کارت) درز یافته‌اند که ریسک فیشینگ، کلاهبرداری و سوء‌استفاده از حساب‌ها را بالا می‌برد.

چطور سازمان‌ها می‌توانند از چنین حملاتی جلوگیری و سریع واکنش دهند (راهبردهای دفاعی — سطح بالا)

(توجه: توصیه‌ها عمومی و دفاعی هستند؛ شامل راهنمای قدم‌به‌قدم برای ساخت یا استفاده از بدافزار نیستند.)

1. حفاظت نقاط انتهایی (EDR) و مانیتورینگ رفتار برنامه‌ها — EDRهای قابل اعتماد می‌توانند فعالیت‌های غیرعادی فرآیندها و تلاش‌های استخراج credential را شناسایی و مسدود کنند.

2. اعمال اصل کمترین دسترسی و تفکیک محیط‌ها — حساب‌های توسعه، تست و تولید نباید دسترسی‌های اضافی به منابع حساس داشته باشند تا در صورت آلوده شدن یک دستگاه، آسیب محدود بماند.

3. احراز هویت قوی و MFA در همه سطوح — فعال‌سازی MFA برای دسترسی به پنل‌های مدیریت، سرویس‌های ابری و ابزارهای توسعه اهمیت حیاتی دارد.

4. مدیریت رمز و مخازن محرمانه (Secrets Management) — استفاده از vault و محدودیت دسترسی به کلیدها/توکن‌ها، به جای نگهداری آن‌ها در فایل‌های محلی یا کانفیگ‌های ساده.

5. آموزش و مبارزه با مهندسی اجتماعی — بسیاری از نمونه‌های StealC از طریق لینک‌های مهندسی اجتماعی یا بسته‌های آلوده منتشر می‌شوند؛ آموزش کاربران و توسعه‌دهندگان برای شناسایی لورها ضروریست.

6. بررسی و سخت‌سازی زنجیره تأمین نرم‌افزاری — کنترل بسته‌های نرم‌افزاری دانلود شده، بررسی Signed releaseها و اجرای اسکن‌های تامین‌کننده (supply-chain scanning).

7. پلان پاسخ به حادثه و بازیابی (IR & Backup) — داشتن playbook برای شناسایی، ایزوله و پاک‌سازی سیستم‌های آلوده و همچنین فرایند اطلاع‌رسانی و ریکاوری از بک‌آپ‌های معتبر.

🔥 تماشا کنید — چرا این ویدیو ضروری است؟
در ویدیوی همراه این مقاله، علاوه بر مرور جزئیات ماجرا و توضیح ماهیت StealC، راهنمای عملی و قابل‌اجرا برای تیم‌های امنیت و توسعه ارائه شده است: از نحوه تشخیص علائمِ آلوده‌شدن یک ایستگاه کاری تا چک‌لیست اقدامات فوری برای کاهش خسارت و بازیابی. اگر مدیر امنیت، مهندس زیرساخت یا توسعه‌دهنده هستید، حتماً ویدیو را ببینید — نکاتی دارد که می‌توانید همان روز اجرا کنید. ▶️🔐