امنیت

فناوری اطلاعات

August 14, 2022
14:44 یکشنبه، 23ام مردادماه 1401
کد خبر: 138282

کمین گرگ‌های مجازی با لباس میش، در انتظار کاربران

توزیع‌کنندگان بدافزار برای آلوده‌کردن سیستم‌های عامل کاربران، همچنان، به صورت گسترده و بدون توقف، مشغول استفاده از ترفندهایی همچون فریب‌دادن قربانیان به دانلود و اجرای فایل‌های مخرب هستند.
به گزارش مرکز مدیریت راهبردی افتا، برخی دیگر از ترفندهای توزیع‌کنندگان بدافزار شامل مخفی کردن فایل‌های اجرایی بدافزار در قالب برنامه‌های کاربردی متداول، امضای آن‌ها با گواهی‌نامه‌های معتبر یا حتی هک کردن سایت‌های قابل‌اعتماد برای سوءاستفاده و به‌کارگیری از آن‌ها به‌عنوان نقاط توزیع فایل‌های مخرب است.
 
کاربران می توانند برای شناسایی بدافزارها از سایت (VirusTotal )، سایت پویش و تحلیل بدافزار استفاده کنند که  هر فایل ارسالی از سوی کاربران را در اکثر ضدویروس‌های مطرح بررسی کرده و گزارش شناسایی یا عدم شناسایی آن‌ها را در اختیار کاربر قرار می‌دهد، این سایت در بازه زمانی 12 دی 1399 تا 10 تیر 1401، روزانه دو میلیون فایل ارسالی کاربران را تحلیل کرده است.
 
بهره‌جویی از دامنه‌های معتبر
توزیع بدافزار از طریق ‌سایت‌های معتبر، محبوب و با رتبه بالا به مهاجمان این امکان را می‌دهد تا فهرست‌های مسدود شده مبتنی بر IP را دور بزنند و همواره در دسترس باشند و سطح اعتماد بیشتری را جلب کنند.
 
سایت VirusTotal، بر اساس فهرست هزار سایت محبوب و برتر (Alexa top 1000 websites) و از میان 101 دامنه متعلق به این سایت‌ها،  دو ونیم میلیون فایل مشکوک دانلود شده را شناسایی کرده است. قابل‌توجه‌ترین موردی که از آن بیشترین سوءاستفاده صورت گرفته، Discord است که به کانون توزیع بدافزار تبدیل شده است. پس از آن سرویس‌دهنده میزبانی کننده سرورها و خدمات ابری Squarespace و Amazon در رتبه‌های بعدی قرار دارند.
 
استفاده از گواهی‌‌نامه‌های معتبر سرقت شده
امضای نمونه‌های بدافزاری با گواهی‌نامه‌های معتبر سرقت شده، روشی دیگر برای فرار از تشخیص توسط ضدویروس‌ها و هشدارهای صادر شده از سوی راهکارهای امنیتی است.
 
در میان تمام نمونه‌های مخرب آپلود شده در VirusTotal در بازه زمانی یادشده، بیش از یک میلیون مورد امضا شده و 87٪ از آن‌ها از یک گواهی‌نامه‌ معتبر استفاده کرده‌اند. گواهی‌نامه‌های رایج بکار گرفته شده در امضای نمونه‌های مخرب ارسال شده به سایت یادشده عبارت‌اند از Sectigo، DigiCert، USERTrust و Sage South Africa.
 
مخفی شدن در قالب نرم‌افزارهای معتبر و محبوب
مخفی کردن یک بدافزار قابل‌اجرا در قالب یک برنامه کاربردی معتبر و محبوب در سال 2022 روند صعودی داشته است.
 
 قربانیان با تصور اینکه برنامه‌های موردنیاز خود را دریافت می‌کنند، این فایل‌ها را دانلود کرده، اما با اجرای فایل‌های نصب‌کننده نرم‌افزار، سیستم‌های خود را به بدافزار آلوده می‌کنند. برنامه‌های کاربردی که مهاجمان بیشترین سوءاستفاده را از آن‌ها کرده‌اند اغلب دارای نشان (Icon) مربوط به محصولات Skype، Adobe Acrobat، VLC و 7zip هستند.
 
برنامه محبوب بهینه‌سازی Windows به نام CCleaner که اخیراً در کارزاری مورد بهره‌جویی قرار گرفته نیز یکی از گزینه‌های محبوب هکرها است و نسبتاً آلودگی و توزیع فوق‌العاده‌ای را به دنبال داشته است.
 
مهاجمان در کارزار یادشده از تکنیک‌های موسوم به Black Hat SEO  پیروی کردند تا ‌سایت‌های بکار گرفته شده برای توزیع بدافزار خود را در نتایج جستجوی Google در رتبه‌بندی بالایی قرار دهند و به‌این‌ترتیب افراد بیشتری فریب‌خورده و فایل‌های اجرایی مخرب را دانلود کنند.
 
فریب کاربران از طریق فایل‌های نصب معتبر
در نهایت، ترفند دیگر توزیع کنندگان بدافزار،  پنهان کردن بدافزار در فایل‌های نصب برنامه‌های معتبر و اجرای پروسه هک در پس‌زمینه (Background) است، درحالی‌که برنامه‌های واقعی در پیش‌زمینه (Foreground) در حال اجرا هستند.
 
این تکنیک ضمن فریب قربانیان منجر به بی‌اثر شدن برخی موتورهای ضدویروس می‌شود که ساختار و محتوای فایل‌های اجرایی را بررسی نمی‌کنند.
 
بر اساس آمار سایت VirusTotal، به نظر می‌رسد که این روش امسال نیز در حال افزایش است و از Google Chrome، Malwarebytes، Windows Updates، Zoom، Brave، Firefox، ProtonVPN و Telegram به‌عنوان طعمه استفاده می‌کنند.
 
چگونه ایمن بمانیم؟
کارشناسان مرکز مدیریت راهبردی افتا می گویند: هنگامی که به دنبال دانلود نرم‌افزار هستید، یا از فروشگاه موجود در سیستم‌عامل خود استفاده کنید یا آن را از صفحه دانلود رسمی برنامه، دریافت کنید.
 
همچنین، مراقب تبلیغاتی که در نتایج جستجو ممکن است رتبه بالاتری داشته باشند، باشید، زیرا مهاجمان سایت‌ها را به‌راحتی، جعل می کنند بطوری‌که کاملاً شبیه سایت‌های معتبر به نظر می‌رسند.
 
به گفته کارشناسان مرکز مدیریت راهبردی افتا، هر کاربر موظف است، پس از دانلود یک فایل نصب‌کننده نرم‌افزار و همیشه قبل از اجرای فایل، یک پویش ضدویروس بر روی آن انجام دهید تا مطمئن شوند که حاوی بدافزار نیست.
 
در نهایت، از به‌کارگیری نسخه‌های کرک شده، نرم‌افزارهای قفل‌شکسته و غیرمجاز خودداری کنید زیرا معمولاً به انتقال بدافزار منجر می‌شوند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.