کشف تروجان جدید متمرکز روی آفیس و Adobe

یکی از انواع تروجان Asruex که به صورت ویژه نقاط آسیب‌پذیر در نسخه‌های قدیمی نرم‌افزارهای آفیس مایکروسافت و Adobe  را مورد هدف قرار می‌دهد توسط کارشناسان شناسایی شد.
 
بدافزار Asruex نخستین بار سال ۲۰۱۵ شناسایی شد. این تروجان در اصل از شورتکات فایل‌های آلوده استفاده می‌کرد، در قالب پست الکترونیکی به سازمان‌ها ارسال می‌شد، و پس از دانلود شدن Asruex به صورت مخفیانه در یک فایل تصویری وارد شبکه سازمانی می‌شد.
 
بدافزار مذکور پیش از این با سیستم DarkHotel در ارتباط بود. این سیستم یک گروه بدافزارهای تهدیدآمیز مداوم (APT) بود که صنعت هتل داری و خدمات وابسته به آن را مورد هدف قرار می‌داد.
 
هکرهایی که از این روش برای پیشبرد اهداف خود استفاده می‌کردند انواع مختلف حملات سایبری را انجام می‌دادند که از جمله آنها می‌توان به سوءاستفاده از گواهینامه سرقت شده، استفاده از فایل‌های .HTA و نفود به شبکه‌های Wi-Fi در هتل‌ها اشاره کرد.
 
محققان مرکز امنیتی Trend Micro روز گذشته اعلام کردند نسخه جدید بدافزار Asruex در یک فایل آلوده .PDF شناسایی شده است و توسط یک کمپین سایبری مخصوص سرقت‌های اینترنتی به کار می‌رود که دو حفره امنیتی CVE-2012-0158 و CVE-2010-2883 را مورد استفاده قرار داده است.
 
حفره امنیتی CVE-2012-0158 بسیار خطرناک است و در مجموعه نرم‌افزاری آفیس مایکروسافت وجود دارد. این طور که سال ۲۰۱۲ میلادی گفته شده بود، این آسیب پذیری می توانند امکان اجرای کدها از راه دور (RCE) و حمله به سیستم را فراهم کند.

تروجانِ موبایل بانکی ریلتوک با دسترسیِ جهانی

ریلتوک جزو یکی از چند خانواده‌ی تروجان‌های موبایل بانکی است که دارای کارکردها و روش‌های توزیع استاندارد می‌باشد. در اصل این تروجان، با مخاطبین روسی کار داشت اما بعدها این بانکدار موبایل با کمی اصلاحات وقف‌پذیری‌ بیشتری پیدا کرد و اکنون حتی وارد بازار اروپایی نیز شده است. حجم قربانیان ریلتوک (بیش از 90%) همچنان در روسیه باقیمانده است و فرانسه (با 4% قربانی) در جایگاه دوم قرار دارد. مقام سوم برای ایتالیا، اوکراین و انگلستان است.
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ ما ابتدا اعضای این خانواده را مارس 2018 شناسایی کردیم. درست مثل سایر تروجان‌های بانکی، این خانواده هم خودش را در قالب اپ‌هایی برای سرویس‌های تبلیغاتی محبوب و رایگان درمی‌آورد. این بدافزار از طریق اس‌ام‌اس در قالب %USERNAME%, I’ll buy under a secure transaction. youlabuy[.]ru/7**3 یا %USERNAME%, accept 25,000 on Youla youla-protect[.]ru/4**7 دستگاه‌ها را آلوده می‌کرد و بین آن‌ها توزیع می‌شد. این بدافزار همچنین حاوی لینکی بود که دانلود تروجان ریلتوک را به همراه داشت. نمونه‌های دیگری نیز داشتیم که خود را جای کلاینت‌های یک سرویس بلیت‌یاب یا اپ استوری برای سیستم‌عامل اندروید می‌زدند. 
اواخر سال 2018 بود که ریلتوک جهشی بزرگ کرد و وارد عرصه‌ی بین‌المللی شد. مجرمان سایبری که در حقیقت دست‌های پشت پرده‌ی این تروجان بودند همان پوشش قبلی و روش‌های توزیع را حفظ کرده و سعی داشتند از آیکون‌ها و نام‌هایی استفاده کنند که کارشان تقلید سرویس‌های تبلیغاتی رایگان و محبوب است.
در نوامبر 2018، نسخه‌ای از این تروجان برای بازار انگلیسی‌ها در قالب Gumtree.apk به روی کار آمد. پیام اس‌ام‌اسی با یک لینک به بانکداری که ظاهر این چنینی داشت: %USERNAME%, i send you prepayment gumtree[.]cc/3***1.
نسخه‌های ایتالیایی (Subito.apk) و فرانسوی (Leboncoin.apk) کمی بعد از این ماجرا ژانویه‌ی 2019 ظاهر شدند. این پیام‌ها به شرح زیر بودند:
“%USERNAME%, ti ho inviato il soldi sul subito subito-a[.]pw/6***5” (It.)
“% USERNAME%, ti ho inviato il pagamento subitop[.]pw/4***7” (It.)
“%USERNAME%, je vous ai envoyé un prepaiement m-leboncoin[.]top/7***3” (Fr.)
“%USERNAME%, j’ai fait l’avance (suivi d’un lien): leboncoin-le[.]com/8***9” (Fr.)
بیایید نگاهی جزئی‌تر به عملکرد این تروجان بانکی بیاندازیم:
آلودگی
کاربر اس‌ام‌اسی با یک لینک آلوده که او را به وبسایت تقلبی (که از سرویس تبلیغاتی محبوب و رایگان تقلید می‌کند) می‌برد دریافت می‌کند. آنجا، کاربر مجبور می‌شود نسخه‌ی جدید این اپ موبایلی را دانلود کند؛ اپی که در واقع در زیر پوشش مظلومانه‌اش تروجانی شرور پنهان است. برای نصب آن قربانی باید ابتدا مجوز نصب اپ‌ها از منابع ناشناخته را (در تنظیمات دستگاه) صادر کند. در طول نصب، ریلتوک با نمایش هشداری جعلی از کاربر می‌خواهد تا از ویژگی‌های خاصی در AccessibilityService استفاده کند. 
اگر کاربر درخواست را نادیده بگیرد و یا آن را رد کند، پنجره مدام باز خواهد شد. این تروجان بعد از گرفتن حقوق مد نظر خود، پیش از اینکه از اسکرین دستگاه پاک شود، خودش را در قالب اپ اس‌ام‌اس پیش‌فرض جا می‌زند (خودش به طور مستقلی در AccessibilityService روی گزینه‌ی yes کلیک می‌کند). 
ریلتوک که حالا نصب شده است و مجوزهای مورد نیازش را نیز از کاربر دریافت کرده است شروع می‌کند به وصل کردن سرور C&C خود. این تروجان در نسخه‌های اخیر خود وقتی شروع به کار می‌کند همچنین یک سایت فیشینگ نیز در مرورگر باز می‌کند؛ این سایت در حقیقت از سرویس تبلیغاتی رایگان تقلید کرده تا بدین‌ترتیب با فریب کاربر، او را مجاب به وارد کردن اطلاعات محرمانه‌‌اش و جزئیات کارت اعتباری‌اش کند. اطلاعات واردشده سپس به مجرمان سایبری فوروارد می‌شود. 
ارتباط با C&C
ریلتوک بی‌وقفه با سرور C&C خود در ارتباط است. اول از همه اینکه با ارسال درخواست GET به آدرس gate.php مربوطه به همراه دو پارامتر آی‌دی و اسکرین، دستگاه آلوده را در پنل ادمین وارد می‌کند. 
سپس با استفاده از درخواست‌های  POST به آدرس report.php مربوطه، اطلاعات مربوط به دستگاه (شامل IMEI، شماره تلفن، کشور، اپراتور موبایل، موجودیت حقوق روت، نسخه‌ی سیستم‌عامل)، فهرست کانتکت‌ها، فهرست اپ‌های نصب‌شده، اس‌ام‌اس‌های ورودی و سایر اطلاعات را ارسال می‌کند. تروجان ریلتوک از سرور فرمان‌هایی (برای مثال برای ارسال اس‌ام‌اس) و تغییراتی در تنظیمات دریافت می‌کند.
آناتومی تروجان
این خانواده بعد از اینکه کتابخانه librealtalk-jni.so حاوی فایل APK تروجان شد ریلتوک نام گرفت. این کتابخانه شامل عملیات‌هایی از قبیل زیر می‌شود:
دریافت آدرس از سرور C&C مجرم سایبری.
دریافت فایل تنظیمات به تزریقات وبی از  C&C و همچنین فهرست پیش‌فرضی از تزریق‌ها.
اسکن برای نام‌ پک‌های اپ که رویدادهای AccessibilityEvent را در فهرستی از اپ‌های محبوب و شناخته‌شده‌ی بانکی/آنتی‌ویروس/غیره تولید می‌کنند.
تنظیم بدافزار به عنوان اپ پیش‌فرض اس‌ام‌اس.
دریافت ادرس صفحه‌ی فیشینگ که وقتی اپ کار می‌کند باز می‌شود.
 
فایل تنظیمات شامل فهرستی می‌شود از فهرستی از تزریقات برای اپ‌های موبایل بانکی- لینک‌هایی به صفحات فیشینگ که با این اپ موبایل بانکی در هماهنگی‌اند (استفاده شده توسط کاربر). نام پک‌ها در بسیاری از نسخه‌های غربی (اینطور صدایشان می‌زنند) این تروجان، در تنظیمات پیش‌فرض فایل پاک می‌شود.
این بدافزار از طریق AccessibilityService رویدادهای AccessibilityEvent را تحت نظارت قرار می‌دهد. بسته به اینکه کدام اپ (نام پک) رویداد را تولید کرده است، ریلتوک می‌تواند:
صفحه‌ی تقلبی گوگل‌پلی باز کند که درخواست جزئیات کارت اعتباری را دارد.
صفحه‌ی جعلی یا صفحه‌ی فیشینگی در مرورگر باز کند (تزریق) که کارش تقلید صفحه‌ی اپ موبایل بانکی مربوطه و درخواست اطلاعات کارت‌ بانکی است.
اپ را در صفحه Minimize (پایین صفحه بیاندازد). این اپ‌ها می‌توانند آنتی‌ویروس یا تنظیمات امنیتی دستگاه باشند.
علاوه بر این، تروجان ریلتوک می‌تواند نوتیفیکیشن‌ها را از یک سری اپ‌های بانکی مشخص پنهان کند. 
وقتی اطلاعات کارت بانکی وارد پنجره‌ی جعلی شد، ریلتوک شروع می‌کند به اعتبارسنجی اولیه: مدت اعتبار کارت، تعداد سرجمع‌ها، طول CVC و اینکه آیا این شماره در فهرست سیاه متصل به کد تروجان است یا نه. 
در حال حاضر (دست کم تا همین الان که این مقاله دارد به شما ارائه می‌شود) عملکرد بیشتر نسخه‌های غربی ریلتوک در مقایسه با نسخه‌های روسی کاهش یافته است. برای مثال، فایل تنظیمات پیش‌فرض (به همراه تزریق‌ها) دیگر اجرایی نیست و این بدافزار اکنون هیچ ویندوز درون‌سازه‌ایِ جعلی که درخواست اطلاعات کارت بکند در خود ندارد.
جمع‌بندی
بهتر است از بروز تهدیدها پیشگیری کرد تا اینکه بگذاریم رخ دهند و بعد برای پیدا کردن چاره‌ای برای رفعشان به تقلا بیافتیم. بنابراین توصیه‌ی ما به شما این است که لینک‌های مشکوک در اس‌ام‌اس را دنبال نکنید و مطمئن شوید اپ‌ها را تنها از منابع رسمی‌شان نصب می‌کنید. همچنین چک کنید کدام مجوزها را در طول نصب می‌دهید. همینطور که در ریلتوک دیدیم، مجرمان سایبری می‌توانند همین روش‌های تزریق آلودگی را روی سایر کشورها نیز پیاده کنند (که کم و بیش هم در این امر موفق بوده‌اند).
محصولات کسپرسکی تمام تهدیدهای فوق را می‌توانند شناسایی کنند.
IoCs
C&C
        100.51.100.00
        108.62.118.131
        172.81.134.165
        172.86.120.207
        185.212.128.152
        185.212.128.192
        185.61.000.108
        185.61.138.108
        185.61.138.37
        188.209.52.101
        5.206.225.57
        alr992.date
        avito-app.pw
        backfround2.pw
        background1.xyz
        blacksolider93.com
        blass9g087.com
        brekelter2.com
        broplar3hf.xyz
        buy-youla.ru
        cd78cg210xy0.com
        copsoiteess.com
        farmatefc93.org
        firstclinsop.com
        holebrhuhh3.com
        holebrhuhh45.com
        karambga3j.net
        le22999a.pw
        leboncoin-bk.top
        leboncoin-buy.pw
        leboncoin-cz.info
        leboncoin-f.pw
        leboncoin-jp.info
        leboncoin-kp.top
        leboncoin-ny.info
        leboncoin-ql.top
        leboncoin-tr.info
        myyoula.ru
        sell-avito.ru
        sell-youla.ru
        sentel8ju67.com
        subito-li.pw
        subitop.pw
        web-gumtree.com
        whitehousejosh.com
        whitekalgoy3.com
        youlaprotect.ru
نمونه‌هایی از بدافزار
        0497b6000a7a23e9e9b97472bc2d3799caf49cbbea1627ad4d87ae6e0b7e2a98
        417fc112cd0610cc8c402742b0baab0a086b5c4164230009e11d34fdeee7d3fa
        54594edbe9055517da2836199600f682dee07e6b405c6fe4b476627e8d184bfe
        6e995d68c724f121d43ec2ff59bc4e536192360afa3beaec5646f01094f0b745
        bbc268ca63eeb27e424fec1b3976bab550da304de18e29faff94d9057b1fa25a
        dc3dd9d75120934333496d0a4100252b419ee8fcdab5d74cf343bcb0306c9811
        e3f77ff093f322e139940b33994c5a57ae010b66668668dc4945142a81bcc049
        ebd0a8043434edac261cb25b94f417188a5c0d62b5dd4033f156b890d150a4c5
        f51a27163cb0ddd08caa29d865b9f238848118ba2589626af711330481b352df

چگونه خود را از تروجان‌ها محافظت کنیم

هنگامی که شما از برنامه‌های رسمی که از فروشگاه رسمی مانند گوگل دانلود شده‌اند، استفاده می‌کنید، برنامه‌های شما نسبتا امن هستند، اما زمانی که برنامه‌ها از فروشگاه‌های شخص ثالث دانلود می‌شوند، امنیتی دربر ندارند. ممکن است اینگونه برنامه‌ها، تروجان‌ها باشند و تمام اطلاعات مربوط به بانکداری شما به دست جنایتکاران اینترنتی بیفتد که ممکن است اطلاعات مورد نظر مورد سوءاستفاده قرار گرفته یا به فروش برسند.
 
تروجان‌ها، برنامه‌های کامپیوتری مخرب و جعلی هستند که خود را همانند نرم‌افزار اصلی نشان داده و پس از ورود به دستگاه و یا سیستم به استخراج داده‌ها از سیستم و یا دستگاه آلوده اقدام می‌کنند.
 
تروجان‌هایی رواج پیدا کرده‌اند که می‌توانند عملیات بانک‌ها را شبیه‌سازی کنند و به عنوان برنامه‌های بانکی واقعی، اطلاعات خصوصی شخصی مشتریان بانکی، از جمله اعتبارنامه‎ها، اطلاعات کارت و غیره را ارائه می‌دهند.
 
تروجان‌ها چطور کار می‌کنند؟
 
تروجان‌ها ممکن است برروی دستگاه شما ظاهر شوند و به عنوان به‌روزرسانی اضطراری در فروشگاه برنامه‌های شخص ثالث یا از طریق لینک‌های مخرب که بر روی آن‌ها کلیک می‌کنید ظاهر شوند. تروجان‌ها سپس می‌توانند برنامه‌های بانکی یا برنامه‌های پرداختی که شما استفاده می‌کنید، همراه با سایر برنامه‌های شبکه‌اجتماعی را مورد سوءاستفاده قرار دهد. 
 
سرانجام، هنگامی که یکی از این برنامه‌ها را باز می‌کنید، صفحه نمایش با یک صفحه نمایش جعلی، تقریبا یکسان با صفحه اصلی برنامه، پوشانده خواهد شد. سپس، همانطور که وارد صفحه اطلاعات  ورودی خود می‌شوید، تروجان آن را ضبط می‌کند و سپس یک پیام خطا روی صفحه نمایش داده می‌شود. سپس تروجان با استفاده از اعتبار ورود به سیستم خود به خودی خود و یا انتقال اعتبار به سازندگان تروجان اقدام خواهد کرد. هکرها حتی اطلاعات خرابکاری را به فروش می‌رسانند و پول زیادی کسب می‌کنند.
 
نحوه شناسایی تروجان‌ها
 
وقتی مکرراً جزییات کارت بانکی از شما خواسته شود، صفحه مورد نظر تا زمانی که شما تمام اطلاعات را وارد نکرده‌اید، از بین نمی‌رود. این یعنی به احتمال زیاد شما با یک صفحه تروجان روبرو هستید. بهترین کاری که باید بکنید جلوگیری از استفاده از برنامه‌های غیرمجاز است.
 
بسیاری از مردم تمایل دارند از برنامه‌های کاربردی از فروشگاه‌های شخص ثالث استفاده کنند، فقط به این دلیل که بسیاری از برنامه‌های رایگان ارائه می‌شوند. اما چنین برنامه‌های رایگان ممکن است آلوده به ویروس یا تروجان باشند که سعی دارند همه اطلاعات شخصی شما را سرقت کنند. بر اساس اطلاعات سایت پلیس فتا، بهترین سیاست این است که همیشه برنامه‌ها را از فروشگاه‌های مجاز برنامه مانند فروشگاه گوگل پلی یا فروشگاه اپل، دانلود یا آن‌ها را خریداری کنید.
 
همچنین حتماً در هنگام نصب یک برنامه، مجوزها را چک کنید؛ شما هرگز نباید اطلاعات شخصی حساس را بصورت آنلاین به اشتراک بگذارید.  از صحت برنامه یا وب سایت که در آن شما اطلاعات شخصی خود را به اشتراک می‌گذارید، اطمینان حاصل کنید. هرگز برروی لینک‌هایی که پیشنهادات غیرواقعی دارند، به ویژه لینک‌هایی که به دنبال اطلاعات شما هستند از طریق اس‌ام‌اس، ایمیل یا واتس‌اپ و غیره کلیک نکنید.

انتشار کدهای منبع تروجان خطرناک بانکی در اینترنت

کدهای منبع یک تروجان خطرناک بانکی که از طریق گوشی های اندرویدی منتشر می شود در فضای مجازی منتشر شده و به نگرانی ها در مورد افزایش سواستفاده از این تروجان دامن زده است.
 
به گزارش وی تری، این تروجان که Exobot نام دارد، گوشی های اندرویدی را هدف قرار می دهد و برای فریب کاربران معمولا خود را در درون برنامه های محبوب دیگر پنهان می کند.
 
بررسی ها نشان می دهد برخی برنامه های اندرویدی در فروشگاه پلی استور گوگل نیز به تروجان Exobot آلوده هستند و گوگل نتوانسته آنها را از وجود این بدافزار خطرناک پاکسازی کند.
 
بر اساس یافته های شرکت امنیتی تریپ وایر، تروجان یادشده بعد از نصب بر روی گوشی ها به سرعت اجرا شده و به محض مراجعه کاربر به یک وب سایت بانکی اطلاعات لاگین یا ورود وی را سرقت می کند و سپس پول های قربانیان را از حساب های آنها خارج می کند.
 
تعدادی از شرکت های امنیت سایبری مانند ای ست و تریت فابریک در حال بررسی کدهای منبع این تروجان برای یافتن راهی به منظور مقابله با آن هستند. کدهای منتشر شده از این تروجان مربوط به نسخه ۲.۵ آن است که به ویرایش ترامپ مشهور شده است. عامل یا عوامل انتشار این کدها در اینترنت هنوز شناسایی نشده اند.

Smoke Loader، هوشمند ترین بد افزار سال ۲۰۱۸

بد افزار

Smoke Loader نام بد افزار قدرتمند جدیدی است که بهترین راه نفوذ به سیستم شما را انتخاب می ‌کند و به تمامی اطلاعات محرمانه شما دسترسی دارد.

Smoke Loader  قادر است بد افزار هایی از جمله تروجان ها، باج افزار ها و cryptocurrency mining software را در سیستم شما پخش کند و شما را به دردسر بیاندازد. شیوه عملکرد این بد افزار در میان نمونه‌ های قبلی کم‌ تر دیده شده است.

این بد افزار که با نام Smoke Loader شناخته می ‌شود از سال ۲۰۱۱ تاکنون فعال بوده و به تدریج پیشرفت کرده است. Smoke Loader در سال ۲۰۱۸ از همیشه معروف‌ تر بوده و از طریق آپدیت های نرم‌ افزاری تقلبی سیستم شما را آلوده می‌کند.

مانند سایر بدافزار ها Smoke Loader نیز حمله اولیه خود را با یک فایل آلوده Microsoft Word آغاز می ‌کند و کاربر بدون اطلاع قبلی با صدور اجازه دسترسی به سیستم، این امتیاز را به Smoke Loader می ‌دهد که یک تروجان را به سیستم تزریق کرده و سایر برنامه‌ های آلوده را از همین دریچه به کامپیوتر کاربر وارد کند.

محققان سیسکو (Cisco) مدتی است فعالیت این بد افزار را زیر نظر گرفته‌ اند و از آخرین فعالیت‌ های آن مطلع شده‌ اند. یکی از جدید ترین شیوه های نفوذ Smoke Loader استفاده از تروجان TrickBot است؛ یک تروجان بانکی که اطلاعات شخصی و خصوصی کاربران از جمله پسوورد ها، اطلاعات کارت‌ های بانکی و سایر اطلاعات حساس را به دست می‌آورد. ایمیل‌ های فیشینگ یکی دیگر از راه‌ های انتشار این بد افزار هستند؛ ایمیل‌ هایی که به نظر از یک شرکت نرم‌ افزاری معتبر برای کاربر فرستاده می ‌شوند و یکی از بهترین راه‌ های ورود به سیستم او هستند.

نکته جالب توجه برای محققان در رابطه با Smoke Loader راه نفوذ جدیدی است که تا کنون هیچ بد افزار دیگری از آن استفاده نکرده؛ یک روش تزریق کد به نام PROPagate که سال گذشته به عنوان یک روش واسطه مطرح شده بود.

این تکنیک از فانکشن SetWindowsSubclass استفاده می‌ کند؛ فانکشنی که برای بروزرسانی Subclass ویندوز استفاده می‌ گردد و این کار را بدون قطع اتصال فعلی به انجام می ‌رساند که بهترین راه ورود بد افزار هست. به این ترتیب بدافزار مورد بحث از این دریچه باز شده برای تزریق کد و سپس انتقال فایل‌ها استفاده می‌ کند؛ یک حمله بهینه و کاملا نامرئی.

به نظر می ‌رسد که هکرها تمامی پست‌ های مربوط به PROPagate را مطالعه کرده و از آن در راستای کارهای خراب ‌کارانه خود استفاده کرده‌ اند.

‌افرادی که پشت این داستان هستند از تکنیک‌ های پیشگیری آنالیز برای پوشاندن رد پای خود نیز استفاده کرده ‌اند؛ Runtime AV Scanners، Tracing و debugging تکنیک‌ هایی هستند که هر محققی برای بررسی رفتار بد افزار ممکن است از آن ‌ها استفاده کند.

با این ‌که بسیاری از حملات Smoke Loader وظیفه رساندن بد افزار های جانبی دیگر به کامپیوتر مورد نظر را بر عهده می ‌گیرند، در برخی موارد این بد افزار Plug-In های خود را حمل کرده و با استفاده از آن‌ ها کارهای خراب ‌کارانه خود را به انجام می ‌رساند.

هر یک از این پلاگ-این ‌ها برای دزدیدن اطلاعات محرمانه خاصی طراحی شده ‌اند. تمامی مرورگر هایی که اطلاعات کاربر را در خود ذخیره می ‌کنند می ‌توانند هدف حملات Smoke Loader قرار بگیرند؛ مرورگر هایی از جمله IE، Chrome، Opera و حتی برنامه‌ های مدیریت ایمیل مثل Outlook و Thunderbird نیز می‌ توانند مرود سوء استفاده این بدافزار باشند.

جالب است بدانید برنامه خراب ‌کار Smoke Loader می‌ تواند از نرم‌افزاری چون TeamViewer هم برای نفوذ امنیتی استفاده کند؛ به طوری که از کامپیوتر کنترل کننده نیز می ‌تواند کامپیوتر مقابل را آلوده کند.

به نظر می‌رسد که سازندگان این بد افزار از تبلیغ ‌هایی که در بخش تاریک وب پخش کرده‌ اند به محبوبیت زیادی نرسیده ‌اند و با این خراب‌ کاری‌ها در مقیاس بزرگ می ‌خواهند برنامه ‌شان را به دنیا معرفی کنند. شاید هم با این کار قصد دارند از botnet برای منافع شخصی خود بهره‌ بگیرند.

در هر صورت شرکت‌های IT باید در مقابل این تهدید ها راه چاره‌ ای پیدا کنند.

محققان سیسکو در این رابطه می ‌گویند:

«بر اساس مشاهدات ما مارکت botnet و تروجان‌ روز به ‌روز در حال تغییر است، نقش اول‌ های این بازی به طور پیوسته کیفیت و تکنیک خود را به ‌روز رسانی می ‌کنند. این افراد بر اساس یک برنامه منظم در حال پیشرفت و برتری خود در مسیر دور زدن ابزار های امنیتی ما هستند. کاملا روشن است که در تقابل، ما نیز باید سیستم ‌های خود را ب ه‌روز نگاه داریم.

توصیه جدی ما به کاربران و شرکت‌ ها این است که از پروسه‌ های امنیتی تعریف شده پیروی کنند؛ مثل نصب پیوسته پچ‌ های امنیتی جدید، توجه بیشتر به هنگام دریافت پیغام از شرکت‌ های سوم شخص و حصول اطمینان از یک نسخه پشتیبان آفلاین. این تمرین‌ ها تهدیدهای امنیتی خارجی را کاهش داده و در صورت خراب‌ کاری بدا فزار ها امکان جبران‌ و ریکاوری اطلاعات از دست رفته را به کاربر می ‌دهند».

نوشته Smoke Loader، هوشمند ترین بد افزار سال ۲۰۱۸ اولین بار در گويا آی‌ تی پدیدار شد.

Smoke Loader، هوشمند ترین بد افزار سال ۲۰۱۸

بد افزار

Smoke Loader نام بد افزار قدرتمند جدیدی است که بهترین راه نفوذ به سیستم شما را انتخاب می ‌کند و به تمامی اطلاعات محرمانه شما دسترسی دارد.

Smoke Loader  قادر است بد افزار هایی از جمله تروجان ها، باج افزار ها و cryptocurrency mining software را در سیستم شما پخش کند و شما را به دردسر بیاندازد. شیوه عملکرد این بد افزار در میان نمونه‌ های قبلی کم‌ تر دیده شده است.

این بد افزار که با نام Smoke Loader شناخته می ‌شود از سال ۲۰۱۱ تاکنون فعال بوده و به تدریج پیشرفت کرده است. Smoke Loader در سال ۲۰۱۸ از همیشه معروف‌ تر بوده و از طریق آپدیت های نرم‌ افزاری تقلبی سیستم شما را آلوده می‌کند.

مانند سایر بدافزار ها Smoke Loader نیز حمله اولیه خود را با یک فایل آلوده Microsoft Word آغاز می ‌کند و کاربر بدون اطلاع قبلی با صدور اجازه دسترسی به سیستم، این امتیاز را به Smoke Loader می ‌دهد که یک تروجان را به سیستم تزریق کرده و سایر برنامه‌ های آلوده را از همین دریچه به کامپیوتر کاربر وارد کند.

محققان سیسکو (Cisco) مدتی است فعالیت این بد افزار را زیر نظر گرفته‌ اند و از آخرین فعالیت‌ های آن مطلع شده‌ اند. یکی از جدید ترین شیوه های نفوذ Smoke Loader استفاده از تروجان TrickBot است؛ یک تروجان بانکی که اطلاعات شخصی و خصوصی کاربران از جمله پسوورد ها، اطلاعات کارت‌ های بانکی و سایر اطلاعات حساس را به دست می‌آورد. ایمیل‌ های فیشینگ یکی دیگر از راه‌ های انتشار این بد افزار هستند؛ ایمیل‌ هایی که به نظر از یک شرکت نرم‌ افزاری معتبر برای کاربر فرستاده می ‌شوند و یکی از بهترین راه‌ های ورود به سیستم او هستند.

نکته جالب توجه برای محققان در رابطه با Smoke Loader راه نفوذ جدیدی است که تا کنون هیچ بد افزار دیگری از آن استفاده نکرده؛ یک روش تزریق کد به نام PROPagate که سال گذشته به عنوان یک روش واسطه مطرح شده بود.

این تکنیک از فانکشن SetWindowsSubclass استفاده می‌ کند؛ فانکشنی که برای بروزرسانی Subclass ویندوز استفاده می‌ گردد و این کار را بدون قطع اتصال فعلی به انجام می ‌رساند که بهترین راه ورود بد افزار هست. به این ترتیب بدافزار مورد بحث از این دریچه باز شده برای تزریق کد و سپس انتقال فایل‌ها استفاده می‌ کند؛ یک حمله بهینه و کاملا نامرئی.

به نظر می ‌رسد که هکرها تمامی پست‌ های مربوط به PROPagate را مطالعه کرده و از آن در راستای کارهای خراب ‌کارانه خود استفاده کرده‌ اند.

‌افرادی که پشت این داستان هستند از تکنیک‌ های پیشگیری آنالیز برای پوشاندن رد پای خود نیز استفاده کرده ‌اند؛ Runtime AV Scanners، Tracing و debugging تکنیک‌ هایی هستند که هر محققی برای بررسی رفتار بد افزار ممکن است از آن ‌ها استفاده کند.

با این ‌که بسیاری از حملات Smoke Loader وظیفه رساندن بد افزار های جانبی دیگر به کامپیوتر مورد نظر را بر عهده می ‌گیرند، در برخی موارد این بد افزار Plug-In های خود را حمل کرده و با استفاده از آن‌ ها کارهای خراب ‌کارانه خود را به انجام می ‌رساند.

هر یک از این پلاگ-این ‌ها برای دزدیدن اطلاعات محرمانه خاصی طراحی شده ‌اند. تمامی مرورگر هایی که اطلاعات کاربر را در خود ذخیره می ‌کنند می ‌توانند هدف حملات Smoke Loader قرار بگیرند؛ مرورگر هایی از جمله IE، Chrome، Opera و حتی برنامه‌ های مدیریت ایمیل مثل Outlook و Thunderbird نیز می‌ توانند مرود سوء استفاده این بدافزار باشند.

جالب است بدانید برنامه خراب ‌کار Smoke Loader می‌ تواند از نرم‌افزاری چون TeamViewer هم برای نفوذ امنیتی استفاده کند؛ به طوری که از کامپیوتر کنترل کننده نیز می ‌تواند کامپیوتر مقابل را آلوده کند.

به نظر می‌رسد که سازندگان این بد افزار از تبلیغ ‌هایی که در بخش تاریک وب پخش کرده‌ اند به محبوبیت زیادی نرسیده ‌اند و با این خراب‌ کاری‌ها در مقیاس بزرگ می ‌خواهند برنامه ‌شان را به دنیا معرفی کنند. شاید هم با این کار قصد دارند از botnet برای منافع شخصی خود بهره‌ بگیرند.

در هر صورت شرکت‌های IT باید در مقابل این تهدید ها راه چاره‌ ای پیدا کنند.

محققان سیسکو در این رابطه می ‌گویند:

«بر اساس مشاهدات ما مارکت botnet و تروجان‌ روز به ‌روز در حال تغییر است، نقش اول‌ های این بازی به طور پیوسته کیفیت و تکنیک خود را به ‌روز رسانی می ‌کنند. این افراد بر اساس یک برنامه منظم در حال پیشرفت و برتری خود در مسیر دور زدن ابزار های امنیتی ما هستند. کاملا روشن است که در تقابل، ما نیز باید سیستم ‌های خود را ب ه‌روز نگاه داریم.

توصیه جدی ما به کاربران و شرکت‌ ها این است که از پروسه‌ های امنیتی تعریف شده پیروی کنند؛ مثل نصب پیوسته پچ‌ های امنیتی جدید، توجه بیشتر به هنگام دریافت پیغام از شرکت‌ های سوم شخص و حصول اطمینان از یک نسخه پشتیبان آفلاین. این تمرین‌ ها تهدیدهای امنیتی خارجی را کاهش داده و در صورت خراب‌ کاری بدا فزار ها امکان جبران‌ و ریکاوری اطلاعات از دست رفته را به کاربر می ‌دهند».

نوشته Smoke Loader، هوشمند ترین بد افزار سال ۲۰۱۸ اولین بار در گويا آی‌ تی پدیدار شد.

کشف یک تروجان اندرویدی جدید که اطلاعات پیام‌رسان‌ها را به سرقت مى‌برد

محققان امنیتی یک بدافزار جدید اندرویدی کشف کرده‌اند که برای گرفتن اطلاعات كاربران پیام‌رسان‌های تلفن‌همراه طراحی شده است.  
طراحی این تروجان جدید بسیار ساده است و توسط محققان شرکت امنیت سايبرى Trustlook کشف و گزارش شده است.
 
این تروجان تنها چند توانایی دارد. اول اینکه پایداری بوت (boot) را توسط باز کردن کد از منبع برنامه آلوده به دست می‌آورد. این کد تلاش می‌کند فایل “/system/etc/install-recovery.sh” را تغییر دهد که اگر موفق شود، می‌تواند با هر بار بوت‌شدن بدافزار را اجرا كند.
 
دوم اينكه، نرم افزارهای مخرب می توانند داده ها را از برنامه‌های پيام‌رسان اندرویدی زیر استخراج کنند. این داده ها بعدها به سرور راه دور ارسال می شوند. این بدافزار، IP این سرور را از یک فایل پیکربندی محلی بازیابی می کند.
 
برنامه‌های پيام‌رسان اندرویدی شامل:
Facebook Messenger
Skype
Telegram
Twitter
WeChat
Weibo
Viber
Line
Coco
BeeTalk
Momo
Voxer Walkie Talkie Messenger
Gruveo Magic Call
TalkBox Voice Messenger
 
محققان این بدافزار را در یک برنامه چینی با نام Cloud Module (به زبان چینی)، با نام پکیج com.android.boxa شناسایی کردند.
 
محققان Trustlook می‌گویند که با وجود تمرکز زیادی که بر سرقت داده‌های این پیام‌رسان‌ها وجود دارد، اين بدافزار از چند تکنیک پیشرفته استفاده می‌کند. به عنوان مثال از تکنیک‌های ضد شبیه‌ساز و اشکال‌زدایی استفاده می‌کنند تا از تجزیه و تحلیل دینامیک جلوگیری کنند و همچنين رشته‌‌هاى متنى را درون كد آن مخفى مى‌كند تا تلاش براى برگرداندن كد را خنثى كند.
 
عجيب است كه اين بدافزار اندرويدى تنها با يك قابليت واحد اطلاعات پيام‌رسان‌ها را استخراج مى‌كند. یک نظریه برای انتخاب این طراحی این است که مهاجمان از مکالمات خصوصی، تصاویر و ویدیوها برای جمع آوری اطلاعات حساس استفاده می‌کنند که بعدا می‌توانند در تلاش برای اخاذی، به ویژه در برابر قربانیان مهم و برجسته مورد استفاده قرار گیرد.
 
محققان هیچ اطلاعاتی در مورد روش های توزیع این بدافزار به اشتراک نگذاشته اند اما با توجه به اینکه این بدافزار دارای یک نام چینی است و هیچ Store Play در چین وجود ندارد، ممکن است نویسندگان این بدافزار، برنامه مخرب خود را از طریق فروشگاه‌های شخص ثالث و لینک‌ها در انجمن‌های نرم افزاری اندرويد، توزیع کنند.

سامانه «ویروس کاو» راه اندازی شد/ فایلهای مشکوک را اسکن کنید

سامانه «ویروس کاو» به عنوان پویشگر نرم افزارهای مخرب توسط مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) راه اندازی شد.
سامانه ویروس‌کاو (پویشگر بدافزار چند موتوره) با در اختیار داشتن ۱۰ آنتی ویروس به‌روز، می تواند فایل‌های مشکوک را مورد بررسی قرار دهد.
 
با استفاده از این سامانه که توسط مرکز ماهر وابسته به سازمان فناوری اطلاعات ایران راه اندازی شده است، کاربر می تواند در هنگام مواجهه به فایلی مشکوک در اینترنت یا رایانه خود و یا دریافت ایمیلی با پیوست مشکوک،‌ فایل مربوطه را در این سامانه بارگذاری کرده و نتایج اسکن آن را توسط آنتی ویروس‌های مختلف مشاهده کند.
 
در این سامانه امنیت و محرمانگی فایل‌های بارگذاری شده مدنظر قرارگرفته است و آنتی‌ویروس‌ها نیز به‌صورت کاملا آفلاین قابل استفاده خواهند بود.
 
سامانه «ویروس کاو» که به نشانی https://scanner.certcc.ir در دسترس قرار دارد، توسط مرکز پژوهشی آپای دانشگاه صنعتی امیرکبیر به سفارش مرکز ماهر پیاده سازی شده است.

شناسایی تروجان جدید لینوکس

شرکت امنیتی دکتر وب چندین هزار دستگاه لینوکس آلوده را تشخیص داد.
 
محققان امنیتی اواخر سال گذشته تعداد زیادی از برنامه‌های مخرب برای لینوکس را مشاهده کردند و در پایان ماه ژانویه امسال، چندین هزار دستگاه لینوکس آلوده به یک تروجان جدید را کشف کردند.
 
در گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) به نقل از وب‌سایت دکتر وب آمده است که این تروجان که توسط مجرمان سایبری، به منظور آلوده‌کردن تعداد زیادی از تجهیزات شبکه لینوکس استفاده شده، لینوکس پروکسی ۱۰ (Linux.Proxy.۱۰) نام دارد.
 
همان‌طور که نام این برنامه مخرب نشان می‌دهد، لینوکس پروکسی ۱۰ برای اجرای یک سرور پروکسی ساکس (SOCKS۵)، روی تجهیزات آلوده و بر اساس کد منبع نرم‌افزار رایگان سرورهای Satanic Socks، طراحی شده است. مجرمان سایبری از این تروجان برای مطمئن بودن از آن که به طور ناشناس آنلاین، باقی می‌مانند، استفاده می‌کنند.
 
برای توزیع تروجان لینوکس پروکسی ۱۰، مجرمان سایبری به تجهیزات‌ آسیب‌پذیر از طریق پروتکل SSH یا Secure Shell (پوسته امن) لاگین می‌کنند و در همان زمان لیست تجهیزات و همچنین لاگین‌ها و رمز عبورها را بر روی سرور خود، ذخیره می‌کنند.
 
چنین جزئیات حساب کاربری «آدرس IP: لاگین به سیستم: رمز عبور» معمولا توسط دیگر تروجان‌های لینوکس، ایجاد شده‌اند. به عبارت دیگر، لینوکس پروکسی ۱۰ به کامپیوتر و تجهیزاتی نفوذ می‌کند که یا دارای تنظیمات استاندارد باشند و یا در حال حاضر با دیگر نرم‌افزارهای مخرب لینوکس، آلوده باشند.
 
یک اسکریپت با کمک این لیست تولید می‌شود و بر روی تجهیزات آلوده با استفاده از sshpass اجرا می‌شود. این سیستم هک شده را با کمک لینوکس پروکسی ۱۰، آلوده می‌کند.
 
علاوه بر این، سرور متعلق به مجرمان سایبری که لینوکس پروکسی ۱۰ را توزیع می‌کنند نه تنها شامل لیستی از تجهیزات آسیب‌پذیر است، بلکه محققان امنیتی دکتر وب پنل مدیریت عامل جاسوس و ساخت نرم‌افزارهای مخرب ویندوز از یک خانواده شناخته شده از نرم‌افزارهای جاسوسی تروجان در پشتی (BackDoor.TeamViewer)، را نیز شناسایی کردند.
 
برای اتصال به یک پروکسی سرور که با استفاده از لینوکس پروکسی ۱۰ راه‌اندازی شده است، مجرمان سایبری فقط به دانستن آدرس IP تجهیزات آلوده و شماره پورتی که در تروجان در زمان کامپایل آن، ذخیره شده است نیاز دارند. محققان امنیتی دکتر وب در ۲۴ ژانویه ۲۰۱۷ موفق شدند تعداد تجهیزات آلوده به لینوکس پروکسی ۱۰ را بشمارند که تعداد آن به چندین هزار می‌رسید.
 
به‌منظور حافظت تجهیزات مشکوک به آلوده بودن به لینوکس پروکسی ۱۰، توصیه می‌شود که آنها را، از راه دور و از طریق پروتکل SSH، با کمک آنتی‌ویروس دکتر وب برای لینوکس (Dr. Web Anti-virus ۱۱.۰ for Linux) اسکن کنید.

حفره امنیتی خانمان برانداز اینترنتی شناسایی شد

محققان گوگل موفق به شناسایی بی سابقه ترین مورد نشت اطلاعات در وب در سال ۲۰۱۷ شده اند که نتیجه آن ضرورت تغییر تمامی کلمات عبور مورد استفاده کاربران سایت های اینترنتی است.
مشکل یادشده تا بدان حد جدی است که باعث افشای بسیاری از کلمات عبور مورد استفاده کاربران، پیام های خصوصی آنها و دیگر اطلاعات حساس ارسالی کاربران در بسیاری از وب سایت های اینترنتی می شود.
 
از جمله سایت هایی که اطلاعات خصوصی کاربرانش به همین علت در معرض خطر قرار گرفته می توان به اوبر، فیت بیت و OKCupid اشاره کرد.
 
مشکل یاد شده که توسط برخی محققان امنیتی کلودبلید نام گرفته ناشی از یک آسیب پذیری در کدهای مورد استفاده شرکت وب مشهور کلودفلیر است و البته بی شباهت به آسیب پذیری مشهور هارت بلید یا خون ریزی قلب در سال ۲۰۱۵ نیست. البته این بار تعداد سرورهایی که اطلاعات کاربران از آنها سرقت شده بسیار بیشتر است.
 
آسیب پذیری یاد شده باعث شده سرورهایی که وظیفه میزبانی بیش از دو میلیون وب سایت را بر عهده دارند اطلاعاتی را به طور تصادفی در فضای مجازی نشت دهند. مشکل مذکور زمانی تشدید می شود که بدانیم برخی موتور جستجوهایی که این نوع اطلاعات را در cache خود ذخیره می کنند هم می توانند عامل نشت این اطلاعات باشند.
 
به عنوان مثال اگر کاربری با بازدید از سایت اوبر یک تاکسی گرفته باشد، ممکن است اطلاعات رد و بدل شده توسط وی به علت استفاده اوبر از خدمات کلودفلیر به اینترنت نشت کرده باشد. برای سرقت این اطلاعات نیازی به حمله هکری نیست و این افراد بدون مشکل خاصی می توانند داده های مذکور را سرقت کنند.
 
مشکل مذکور حدود ده روز قبل شناسایی شده، اما از شهریور ماه وجود داشته و به احتمال زیاد کاربران سایت های HTTPS هم به همین علت آسیب دیده اند. لذا همه کاربران باید کلمات عبور خود در سایت های مختلف را عوض کنند، هر چند کلودفلیر با همکاری سایت های طرف قرارداد خود در تلاش است تا ابعاد این مشکل را به حداقل برساند و به همین منظور وصله ای امنیتی را نیز ارائه کرده است.