هشدار درباره بدافزار پنهانی که فعالیت غیرقانونی انجام میدهد
کارشناسان امنیتی به تازگی درباره بدافزاری هشدار دادهاند که میتواند بدافزار پس از آلوده کرده سیستم، به صورت پنهانی از آن به عنوان proxy استفاده کرده و فعالیتهای غیرقانونی و مخربی انجام دهد.
به گزارش ایسنا، بدافزارها شامل نرمافزارهای جاسوسی و یا برنامههای تبلیغاتی مزاحم مانند ردیابی کوکیها است که به ردیابی علاقهمندیهای کاربران در رایانه میپردازند. واژه بدافزار کوتاه شده نرمافزار مخرب (malicious software) است. این واژه اصطلاحی عمومی برای توصیف همه ویروسها، کرمها، جاسوسافزارها و تقریباً هر چیزی که به طور خاص برای صدمه به رایانه و یا سرقت اطلاعات طراحی شده است.
واژه ویروسهای رایانهای اغلب به جای بدافزار استفاده میشود، هرچند در واقع این دو واژه به یک معنی نیستند و در دقیقترین معنی، ویروس برنامهای است که خود را مدام تکثیر کرده و رایانه را با گسترش خود از یک فایل به فایل دیگر آلوده میکند، سپس وقتی فایلها از یک رایانه به دیگری کپی شده و بین دو یا چند رایانه به اشتراک گذاشته میشوند، از کامپیوتر آلوده به دیگران منتقل میشود و این روند همچنان ادامه پیدا میکند.
در همین راستا اخیرا اعلام شده باتنتی به نام Socks۵Systemz دهها هزار سیستم را آلوده کرده است؛ این بدافزار پس از آلوده کرده سیستم، به صورت پنهانی از آن به عنوان proxy استفاده کرده و فعالیتهای غیرقانونی و مخربی انجام میدهد.
درباره جزئیات این موضوع میتوان گفت، این بدافزار رایانهها را آلوده و آنها را به پراکسیهای انتقال ترافیک جهت ایجاد ترافیک مخرب، غیرقانونی یا ناشناس تبدیل میکند. این سرویس را به مشترکینی میفروشد که برای دسترسی به آن بین ۱ تا ۱۴۰ دلار در روز به صورت رمزنگاری پرداخت میکنند. در گزارش منتشر شده توسط BitSight، باتنت Socks۵Systemz دست کم از سال ۲۰۱۶ فعالیت داشته است.
ربات Socks۵Systemz توسط بدافزار PrivateLoader و Amadey توزیع میشود که اغلب از طریق فیشینگ، کیتهای بهرهبرداری، آلوده سازی فایلها با بدافزار، فایلهای اجرایی آلوده شده به تروجان دانلود شده و از شبکههای P۲P و غیره منتشر میشوند. نمونههایی که توسط BitSight مشاهده میشوند «previewer.exe» نام دارند و وظیفه آنها تزریق ربات پراکسی به حافظه میزبان و ایجاد پایداری برای آن از طریق یک سرویس ویندوز به نام «ContentDWSvc» است.
دستور اتصال بسیار مهم است و به ربات دستور میدهد تا یک اتصال سرور پشتیبان را از طریق پورت ۱۰۷۴/TCP برقرار کند. پس از اتصال به زیرساخت، دستگاه آلوده اکنون میتواند به عنوان یک سرور پروکسی استفاده شود و به سایرین فروخته شود. هنگام اتصال به سرور backconnect، از فیلدیهایی استفاده میکند که آدرس IP، رمز عبور پروکسی، لیست پورتهای مسدود شده و غیره را تعیین میکنند. این پارامترها تضمین میکنند که فقط رباتهای موجود در لیست مجاز و با اعتبار ورود لازم میتوانند با سرورهای کنترل تعامل داشته باشند و مسدود شوند.
یک زیرساخت کنترل گسترده از ۵۳ ربات پراکسی، بککانکت، DNS و سرورهای کسب آدرس را که عمدتاً در فرانسه و در سراسر اروپا (هلند، سوئد، بلغارستان) واقع شدهاند، ترسیم کرد. براساس اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای(ماهر) از آغاز ماه اکتبر، تحلیلگران ۱۰۰۰۰ تلاش ارتباطی متمایز بر روی پورت ۱۰۷۴/TCP با سرورهای بککانکت شناسایی شده را ثبت کردند که نشان دهنده تعداد مساوی قربانیان است. دسترسی به خدمات پراکسی Socks۵Systemz در دو سطح اشتراک، یعنی "Standard" و "VIP" فروخته میشود که مشتریان از طریق درگاه پرداخت ناشناس (بدون KYC) "Cryptomus" پرداخت میکنند. مشترکین باید آدرس IP را که ترافیک پروکسی از آنجا منشأ میگیرد، اعلام کنند تا به لیست مجاز ربات اضافه شود.
مشترکین استاندارد به یک رشته و نوع پراکسی محدود می شوند، در حالی که کاربران VIP میتوانند از ۱۰۰-۵۰۰۰ رشته استفاده کنند و نوع پروکسی را روی SOCKS۴، SOCKS۵ یا HTTP تنظیم کنند.
گفتنی است اخیرا محققان امنیتی درباره کمپین جدید به روزرسانی مرورگر کروم جعلی هشدار دادند که بدافزار جدیدی به نام FakeUpdateR برای فریب کاربران و دانلود یک تروجان دسترسی از راه دور استفاده میکند. این کمپین پس از اینکه بدافزار قبلاً وبسایتهای متعددی را تحت تأثیر قرار داده بود، آشکار شد که بعداً توسط Google نیز مورد توجه قرار گرفت.
ظهور این بدافزار جدید جعلی بهروزرسانی Google Chrome یادآور این است که ارتقاء مرورگرها با استفاده از رویههای استاندارد از اهمیت بالایی برخوردار است بنابراین کارشناسان به کاربران توصیه میکنند که به طور مرتب بر افزونهها و تمهای مورد استفاده در سایتهای خود نظارت کنند؛ همچنین پشتیبانگیری منظم از وبسایتها و پیادهسازی صحیح پیکربندیهای فایروال جهت جلوگیری از حملات بدافزارهایی مانند FakeUpdateRU بسیار مهم است.