91031940_021
91031940_021

آرشیو

خانه
بدون دسته بندی

گرگ در لباس میش

بدافزار چگونه کاربران و آنتی ویروس را فریب می‌دهد

اخبار داغ فناوری اطلاعات و امنیت شبکه

از ترفندهایی که توزیع‌کنندگان بدافزار جهت آلوده‌کردن سیستم‌ها استفاده می‌کنند، فریب دادن قربانیان به دانلود و اجرای فایل‌های مخرب است که این مقاله به بررسی آنها می‌پردازد.

برخی از این ترفندها شامل مخفی کردن فایل‌های اجرایی بدافزار در قالب برنامه‌های کاربردی متداول، امضای آن‌ها با گواهی‌نامه‌های معتبر یا حتی هک نمودن سایت‌های قابل اعتماد جهت سوءاستفاده و بکارگیری از آنها به عنوان نقاط توزیع فایل‌های مخرب می‌باشد.

به گزارش سایت پویش و تحلیل بدافزار VirusTotal، برخی از این ترفندها در مقیاسی بسیار بزرگتر از آنچه در ابتدا تصور می‌شد اتفاق می‌افتند. سایت VirusTotal هر فایل ارسالی از سوی کاربران را در اکثر ضدویروس‌های مطرح بررسی کرده و گزارش شناسایی یا عدم شناسایی آن‌ها را در اختیار کاربر قرار می‌دهد.

سایت VirusTotal، گزارشی را در بازه زمانی ۱۲ دی ۱۳۹۹ تا ۱۰ تیر ۱۴۰۱ بر اساس دو میلیون فایل ارسالی از سوی کاربران در روز، گردآوری نموده و روند نحوه توزیع بدافزار را نشان می‌دهد.

بهره‌جویی از دامنه‌های معتبر

توزیع بدافزار از طریق ‌سایت‌های معتبر، محبوب و با رتبه بالا به مهاجمان این امکان را می‌دهد تا فهرست‌های مسدود شده مبتنی بر IP را دور بزنند و همواره در دسترس باشند و سطح اعتماد بیشتری را جلب کنند.

سایت VirusTotal، بر اساس فهرست هزار سایت محبوب و برتر (Alexa top 1000 websites) و از میان ۱۰۱ دامنه متعلق به این سایت‌ها، ۲.۵ میلیون فایل مشکوک دانلود شده را شناسایی کرد. قابل‌توجه‌ترین موردی که از آن بیشترین سوءاستفاده صورت گرفته، Discord است که به کانون توزیع بدافزار تبدیل شده است. پس از آن سرویس‌دهنده میزبانی کننده سرورها و خدمات ابری Squarespace و Amazon در رتبه‌های بعدی قرار دارند.

استفاده از گواهی‌‌نامه‌های معتبر سرقت شده

امضای نمونه‌های بدافزاری با گواهی‌نامه‌های معتبر سرقت شده، روشی دیگر جهت فرار از تشخیص توسط ضدویروس‌ها و هشدارهای صادر شده از سوی راهکارهای امنیتی است.

در میان تمام نمونه‌های مخرب آپلود شده در VirusTotal در بازه زمانی مذکور، بیش از یک میلیون مورد امضاء شده و ۸۷٪ از آنها از یک گواهی‌نامه‌ معتبر استفاده کرده‌اند. گواهی‌نامه‌های رایج بکارگرفته شده در امضای نمونه‌های مخرب ارسال شده به سایت مذکور عبارتند از Sectigo ،DigiCert ،USERTrust و Sage South Africa.

مخفی شدن در قالب نرم‌افزارهای معتبر و محبوب

مخفی کردن یک بدافزار قابل اجرا در قالب یک برنامه‌کاربردی معتبر و محبوب در سال ۲۰۲۲ روند صعودی داشته است.

قربانیان با تصور اینکه برنامه‌های مورد نیاز خود را دریافت می‌کنند، این فایل‌ها را دانلود کرده، اما با اجرای فایل‌های نصب‌کننده نرم‌افزار، سیستم‌های خود را به بدافزار آلوده می‌کنند. برنامه‌های کاربردی که مهاجمان بیشترین سوءاستفاده را از آنها کرده‌اند اغلب دارای نشان (Icon) مربوط به محصولات Skype ،VLC ، Adobe Acrobat و ۷zip می‌باشند.

برنامه محبوب بهینه‌سازی Windows به نام CCleaner که اخیراً در کارزاری مورد بهره‌جویی قرار گرفته نیز یکی از گزینه‌های محبوب هکرها است و نسبتاً آلودگی و توزیع فوق العاده بالایی را به دنبال داشته است.

مهاجمان در کارزار مذکور از تکنیک‌های موسوم به Black Hat SEO پیروی کردند تا ‌سایت‌های بکارگرفته شده جهت توزیع بدافزار خود را در نتایج جستجوی Google در رتبه‌بندی بالایی قرار دهند و به این ترتیب افراد بیشتری فریب خورده و فایل‌های اجرایی مخرب را دانلود کنند.

فریب کاربران از طریق فایل‌های نصب معتبر

در نهایت، ترفند دیگر پنهان کردن بدافزار در فایل‌های نصب برنامه‌های معتبر و اجرای پروسه هک در پس‌زمینه (Background) در حالی که برنامه‌های واقعی در پیش‌زمینه (Foreground) در حال اجرا هستند، می‌باشد. این تکنیک ضمن فریب قربانیان منجر به بی‌اثر شدن برخی موتورهای ضدویروس که ساختار و محتوای فایل‌های اجرایی را بررسی نمی‌کنند، می‌شود.

بر اساس آمار VirusTotal، به نظر می‌رسد که این روش امسال نیز در حال افزایش است و از Google Chrome ،Malwarebytes ،Windows Updates ،Zoom ، Brave ،Firefox ،ProtonVPN و Telegram به عنوان طعمه استفاده می‌کنند.

چگونه ایمن بمانیم؟

هنگامی که به دنبال دانلود نرم‌افزار هستید، یا از فروشگاه موجود در سیستم‌عامل خود استفاده کنید یا آن را از صفحه دانلود رسمی برنامه، دریافت نمایید. همچنین، مراقب تبلیغاتی که در نتایج جستجو ممکن است رتبه بالاتری داشته باشند، باشید زیرا سایت‌ها به راحتی توسط مهاجمان قابل جعل هستند و کاملاً شبیه سایت‌های معتبر به نظر می‌رسند.

پس از دانلود یک فایل نصب‌کننده نرم‌افزار، همیشه قبل از اجرای فایل، یک پویش ضدویروس بر روی آن انجام دهید تا مطمئن شوید که حاوی بدافزار نیستند. در نهایت، از بکارگیری نسخه‌های کرک شده، نرم‌افزارهای قفل شکسته و غیرمجاز خودداری کنید زیرا معمولاً منجر به انتقال بدافزار می‌شوند.

 

بیشتر بخوانید
irsasafe 1401-05-19 0 دیدگاه
اخبار

هدفگیری میلیون‌ها کاربر با کلون های Pirate Bay

تبلیغات بد یا مخرب به عنوان یک تهدید به سرعت محبوبیت پیدا کرده‌اند. این مورد شامل طرح‌های کلاهبرداری تبلیغاتی با فریب بازدیدکنندگان وب سایت‌ها است. طبق یک گزارش، تبلیغات نادرست و فریبکارانه در سه ماهه سوم سال ۲۰۲۱ شاهد افزایش ۲۳۱ درصدی بود. این نوع حملات معمولاً در وب‌سایت‌های تورنت و مستهجن به صورت قارچ گونه مشاهده می‌شوند. به تازگی یک کمپین جعل هویت وب سایت تورنت معروف Pirate Bay در فضای سایبری مشاهده شده است.

چه خبر است؟
سایبرنیوز پنج دامنه مخرب را کشف کرده که به عنوان The Pirate Bay در فضای سایبری در حال خودنمایی بوده‌اند. این دامنه‌ها هر ماه با استفاده از محتوای رایگان برای جذب اهداف، تبلیغات مخرب را به بیش از هفت میلیون کاربر ارائه می‌کردند.

همه وب‌سایت‌ها لینک‌های مگنت دانلود تورنت جعلی و چندین آگهی ارائه شده در پس‌زمینه صفحات را به صورت انباشته ارائه می‌دهند. آن‌ها این اطمینان را حاصل می‌کنند که با کلیک بر روی یک تبلیغ، چندین آگهی مخفی و احتمالاً مخرب ایجاد می‌شود. علاوه بر این، وب‌سایت‌ها فایل‌های تورنت مصنوعی را ارائه می‌کنند که فایل‌های مخرب جاوا اسکریپت را منتشر می‌کنند.

اهمیت این فعالیت‌ها در چیست؟
فایل‌های مخرب جاوا اسکریپت برای شناسایی کاربران، ثبت فعالیت‌های آن‌ها و ارائه تبلیغات مزاحم به آن‌ها استفاده می‌شود. این می‌تواند برای استخراج داده‌های شخصی قربانی، ایجاد backdoor به سیستم آلوده، یا نصب باج‌افزار، در میان سایر فعالیت‌های مخرب، مورد استفاده قرار می‌گیرد. کمپین‌های بدافزار در سایت‌های تورنت جعلی گسترده شده‌اند زیرا مهاجمان به راحتی می‌توانند دانلود‌ها را قانونی و حقیقی جلوه دهند. از آنجایی که باز کردن یک فایل تورنت مستلزم ارائه مجوز از سوی کاربر است، برخی ممکن است سهوا بدون اینکه متوجه شوند چه چیزی به آن‌ها ضربه‌زده است، بدافزار را دانلود کنند.

چرا سایت‌های تورنت؟
کلاهبرداران همچنین می‌توانند از شبکه‌های تبلیغاتی قانونی برای گسترش کمپین‌های تبلیغات بد و نمایش تبلیغات مخرب در سایت‌های معروف استفاده کنند.

در حالی که آن‌ها را می‌توان در هر نوع وب سایتی ارائه کرد، سایت‌های تورنت محبوب‌ترین گزینه هستند زیرا این سایت‌ها به عنوان دروازه‌ای برای فایل‌های غیرقانونی در بازار سیاه عمل می‌کنند. علاوه بر این، سایت‌های تورنت در مقایسه با وب‌سایت‌های دیگر، از نفوذ بیشتری در میان کاربران برخوردار هستند.

نتیجه‌گیری
متأسفانه برای خنثی کردن سایت‌های تورنت تقلبی کار زیادی نمی‌توان انجام داد. با این حال، یادگیری در مورد ایمنی آنلاین و اجرای برنامه‌های adblocker و آنتی ویروس قابل اعتماد می‌تواند کمک زیادی به محافظت از کاربران کند. علاوه بر این، مطمئن‌ترین راه برای ایمن ماندن این است که کاربران تبلیغات را با دقت بخوانند و از کلیک روی لینک‌های مشکوک خودداری نمایند.

بیشتر بخوانید
a.fayyazi 1400-11-26 0 دیدگاه
اخبار

آسیب‌های جبران‌ناپذیر جرایم سایبری خارج از کنترل در دنیای واقعی

باج‌افزار‌ها و حملات آنلاین می‌توانند منجر به عواقب مرگبار در دنیای واقعی شوند. دولت‌ها باید در پاسخ به مشکلات، حضور فعالتری در این عرصه داشته باشند.

در سال ۲۰۲۲، حوادث سایبری باعث اختلال واقعی و پایدار در آسایش روزمره ما خواهد شد که حتی شاید بتواند مردم را به مسیر مرگ بکشاند. این به دلیل پیشرفت ژئوپلیتیکی بزرگی نیست، بلکه به این دلیل است که گروهی از جنایتکاران نیمه پیچیده، سازمان یافته و عمدتاً روسی به طور فزاینده‌ای از کنترل خارج شده‌اند.

چند سالی است که ترکیبی عجیب از هالیوود و مجموعه نظامی_صنعتی به ما می‌گوید که حملات سایبری تهدیدی وجودی برای بشریت است، اما واقعیت چیز دیگری بوده است. آسیب‌های سایبری که توسط افراد مخرب تحمیل می‌شود بسیار جدی است، اما عمدتاً به روش‌های نفوذی و برنده و عمدتاً نامرئی انجام می‌شوند. نزدیک‌ترین مورد، افراد عادی هستند که در مواجهه با «حمله سایبری» یا مقدار کمی پول از دست می‌دهند و یا نامه‌ای از شرکت که با آن تجارت می‌کنند دریافت می‌نمایند که به آن‌ها می‌گویند برخی از داده‌های شخصی که ارزش آن را نمی‌دانند، توسط افرادی در قاره دیگری که هیچکس واقعاً هویت آن‌ها را نمی‌داند، به سرقت رفته است. یک استثنای عجیب وجود دارد (به عنوان مثال، دولت روسیه علاقه زیادی به ضربه زدن به اوکراین دارد) اما برای اکثر مردم در بیشتر کشور‌ها، حملات سایبری چندان مورد توجه قرار نگرفته است.

اما این حالت تغییر خواهد کرد، زیرا مجرمان سایبری به طور فزاینده‌ای به روش‌هایی حمله می‌کنند که عواقب بسیار آسیب‌رسان‌تر و قابل مشاهده‌تری دارند. در نیمه اول سال ۲۰۲۱، اختلال در خط لوله Colonial Pipeline در ایالات متحده باعث خالی شدن دو سوم پمپ بنزین‌ها در کارولینای جنوبی شد که باعث اوجگیری وحشت و تمام خطرات ناشی از آن شد. غذا‌های تازه در مقادیر زیادی در سوئد به این دلیل که مغازه‌های سوپرمارکت کار نمی‌کردند به افراد داده می‌شد. مدارس در نیوزلند و بریتانیا آسیب دیدند. خطرناکتر از همه، مراقبت‌های بهداشتی مورد هدف قرار گرفت. در ماه می‌، کل سرویس بهداشتی ایرلند برای هفته‌ها فلج شد و در طول بهار و تابستان ده‌ها بیمارستان در اروپا و ایالات متحده به دلیل حملات باج‌افزاری از دریافت خدمات سیستم‌های حیاتی محروم شدند.

در ماه ژوئن، حملات سایبری در نشست سالانه کشور‌های G7 در کرنوال در دستور کار قرار گرفت و بسیاری از بزرگان صنعت امنیت سایبری‌ امیدوار بودند که این مسأله همراه با مقابله جو بایدن با ولادیمیر پوتین به دلیل پناه دادن به جنایتکاران در خاک روسیه، جریان را تغییر دهد. با این حال، بعید است که این اتفاق بیفتد، زیرا ما هنوز تقریباً هیچ راهی برای مجازات مجرمان سایبری نداریم.

پس از یک سکون کوتاه مدت، فعالیت باج‌افزار‌ها در سال ۲۰۲۱ ادامه یافت و خطر کمتری را در پی نداشت. علیرغم توجه جهانی به فعالیت‌های آن‌ها، فقدان تحریم‌های قابل قبول، این جرات را به جنایتکاران داده است تا به مراکزی از جمله به مراکز مراقبت از کودکان و بیمارستان‌ها در ایالات متحده و سیستم رزرو واکسن کووید در داخل و اطراف رم حمله کنند. بدتر از آن این است که، توجه سیاسی به این مشکلات سایبری در حال کاهش است.

در آینده‌ای نزدیک، دولت‌ها، بازرسان و محققان باید از خود حضور بیشتری نشان دهند. حملات باج افزار، حملاتی سودآور برای مهاجمین هستند. در سال ۲۰۲۱، گروه هکر‌های DarkSide که خط لوله Colonial Pipeline را غیرفعال کردند، تنها در ۹ ماه حداقل ۹۰ میلیون دلار (۶۶ میلیون پوند) درآمد کسب کردند. Emisoft، یک شرکت امنیت سایبری، مجموع پرداخت باج در سال ۲۰۲۰ را حداقل ۱۸ میلیارد دلار محاسبه کرده است. و این بدان معناست که مهاجمان در مورد ایجاد صدمات فیزیکی واقعی تردید‌های کمتری دارند. هیچ مدرک مستقیمی وجود ندارد که نشان دهد کسی در نتیجه حملات سایبری امسال به بیمارستان‌ها جان خود را از دست داده است. اما جلوگیری از دریافت واکسن توسط افراد همچنان یک عمل خشونت‌آمیز است، حتی اگر از راه دور توسط رایانه انجام شود. در سال ۲۰۲۲، زمانی که آن چهره‌های مخفی که در پشت صفحه نمایش خود پنهان شده‌اند، باعث صدمه یا مرگ واقعی انسان شوند، زمانیست که آسیب بزرگ و فیزیکی از اعمال سایبری بروز پیدا خواهند کرد.

بیشتر بخوانید
a.fayyazi 1400-11-26 0 دیدگاه
اخبار

آلودگی هزاران کاربر QNAP به باج‌افزار DeadBolt

به گزارش infosecurity magazine ، هزاران کاربر QNAP تأمین‌کننده استوریج متصل به شبکه (NAS)، به یک نوع باج‌افزار جدید آلوده شده‌اند.

مجموعه QNAP که مرکز آن در تایوان است، این هفته گفت که مشتریان و کاربران باید فوراً سیستم‌های خود را به آخرین نسخه سیستم‌عامل‌های QTS ارتقا دهند و برای کاهش مخاطرات این کمپین اقداماتی را برای قطع دستگاه‌ها از اینترنت انجام دهند.

این باج‌افزار جدید که «DeadBolt» نامیده می‌شود، در ازای ارائه یک کلید رمزگشایی، 0.03 بیت‌کوین (۱۱۰۰ دلار) مطالبه می‌کند.

در این اطلاعیه آمده است: “این یک حمله شخصی نیست. شما به دلیل امنیت ناکافی ارائه شده توسط فروشنده خود (QNAP) هدف قرار گرفته اید”.

شرکت اینونتوری Censys هفته گذشته ادعا کرد که حدود ۵۰۰۰ دستگاه از این دست تحت تأثیر این باج‌افزار قرار گرفته‌اند، اگرچه این تعداد، از مجموع ۱۳۰۰۰۰ دستگاه در سراسر جهان می‌باشد.

جالب اینجاست که تأمین‌کننده مشاهده کرده که تعداد آلودگی‌ها به شکل قابل ملاحظه‌ای بین ۲۶ و ۲۷ ژانویه به شدت کاهش یافت.

در این بیانیه آمده است: «در طول شب، تعداد سرویس‌های باج‌افزار DeadBolt حدود ۱۰۶۱ مورد کاهش یافت و به ۳۹۲۷ سرویس آلوده در دسترس اینترنت عمومی رسید».

دلیل دقیق این کاهش در حال حاضر مشخص نیست و ما به نظارت بر وضعیت ادامه می‌دهیم. اما اوایل امروز، Malwarebytes گزارش داد که QNAP یک بروزرسانی خودکار اجباری را برای سیستم عامل مبتنی بر لینوکس خود به نام QTS برای رفع این آسیب‌پذیری منتشر کرده است. این بروزرسانی ظاهراً فایل اجرایی باج‌افزار را حذف کرد و تغییرات اینترفیس وب ایجاد شده توسط باج‌افزار را به حالت قبل باز می‌گرداند.

اخاذی‌ها از QNAP به آن‌ها این فرصت را داده بودند تا معادل ۵۰ بیت کوین (1.8 میلیون دلار) را برای رمزگشایی تمام داده‌های مشتری بپردازند، اما به نظر نمی‌رسد که آن‌ها به این خواسته‌ها تن داده باشند.

بیشتر بخوانید
a.fayyazi 1400-11-16 0 دیدگاه