Live Chat Software by Ariaphone
اخبار
آذر
۰۳
باج‌افزار AXLocker فایل‌ها را رمزگذاری می‌کند
ارسال شده توسط روشن ۰۳ آذر ۱۴۰۱ ۰۹:۰۸ بعد از ظهر
درباره جزئیات این آسیب‌پذیری می‌توان گفت باج‌افزار به عنوان یکی از سودآورترین خانواده بدافزار برای مهاجمان، به سرعت به یکی از مهم‌ترین انواع تهدیدات تبدیل شده است. سه خانواده جدید بدافزار شناسایی شده‌اند که شامل AXLocker و  Octocrypt و Alice Ransomware  می‌شود. به گزارش ایتنا از ایسنا، مهاجمان پشت پرده باج‌افزار AXLocker، توکن‌های دیسکورد و حساب‌های کاربری قربانیان را به سرقت می‌برند؛ پس از رمزگذاری فایل‌ها در کامپیوتر قربانی، یک یادداشت باج بر روی سیستم قربانی ظاهر می‌شود. این یادداشت دستورالعمل‌هایی در مورد چگونگی دستیابی به ابزار رمزگشایی به قربانی می‌دهد. توکن‌های دیسکورد به سرقت رفته توسط هکرها می‌تواند برای اقداماتی مانند ورود به عنوان کاربر و دستیابی به اطلاعات مربوط به حساب کاربری با صدور درخواست‌های API استفاده شود. باج‌افزار جدید AXLocker به عنوان یکی از پیچیده‌ترین بدافزارها شناخته شده است، چرا که همزمان با سرقت توکن‌های دیسکورد قربانیان خود، فایل‌های قربانیان را نیز رمزگذاری می‌کند؛  این باج‌افزار پس از اجرا، با فراخوانی تابعی به نام startencryption در سیستم قربانی، فایل‌ها را را رمزگذاری  و وجود آن را با تغییر ویژگی‌های این فایل‌ها، پنهان می‌کند. تابع startencryption مسئول شمارش دایرکتوری‌های موجود در درایو C:/ و یافتن فایل‌های موجود در آنها با استفاده از کد موجود در تابع است. فرآیند رمزگذاری با جست‌وجوی پسوندهای فایل قابل رمزگذاری و حذف فهرستی از دایرکتوری‌ها کنترل می‌شود. به دنبال این مراحل، باج‌افزار تابع ProcessFile را فراخوانی می‌کند که پس از آن تابع EncryptFile اجرا شود. این تابع، فایل‌های سیستم قربانی را با استفاده از fileName به عنوان یک آرگومان رمزگذاری می‌کند. الگوریتم AES توسط AXLocker هنگام رمزگذاری فایل‌ها استفاده می‌شود. با این حال، فایل‌های رمزگذاری شده هیچ پسوندی به نام فایل خود اضافه نمی‌کنند، بنابراین با همان نام‌های اصلی ظاهر می‌شوند. سپس از یک webhook URL استفاده می‌کند که از طریق آن داده‌های آی‌دی قربانی، جزئیات سیستم،  داده‌های ذخیره شده در مروگرها و توکن‌های دیسکورد را به کانال دیسکوردی که تحت کنترل مهاجمان است ارسال کند.  محصولات تحت تأثیر طبق اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر)، تمام نسخه‌های ویندوز تحت تاثیر این باج‌افزارهای جدید قرار می‌گیرند. توجه به این نکته ضروری است که اگرچه این باج‌افزار عمداتا متوجه کاربران کامپیوترهای شخصی است، اما می‌تواند تهدیدی برای جوامع و شرکت‌های بزرگ نیز باشد. به کاربران توصیه می‌شود برای در امان ماندن از حملات این بدافزارها، توصیه‌های امنیتی ارائه شده توسط کارشناسان مانند انجام پشتیبان‌گیری به صورت منظم، اطمینان حاصل شود که نسخه‌های پشتیبان در فضای ابری یا در یک شبکه جداگانه ذخیره شده‌اند، توصیه می‌شود در صورت امکان، به‌روزرسانی خودکار نرم‌افزار در کامپیوتر، تلفن همراه و سایر دستگاه‌های متصل فعال شود. همچنین دستگاه‌های متصل، مانند کامپیوتر، لپ‌تاپ و تلفن همراه، باید توسط یک نرم‌افزار آنتی ویروس معتبر محافظت شوند، از صحت پیوست‌ها و پیوندهای ایمیل قبل از باز کردن آنها اطمینان حاصل شود، دستگاه‌هایی که در یک شبکه آلوده هستند باید قطع شوند، اطمینان حاصل شود که دستگاه‌های ذخیره‌سازی خارجی در صورت اتصال، جدا شده‌اند و  اطمینان حاصل شود که لاگ‌های سیستم برای فعالیت‌های مشکوک بررسی می‌شوند، را به کار گیرند.
ادامه مطلب »



آبان
۱۷
فروش جاسوس افزار در یونان ممنوع می‌شود
ارسال شده توسط روشن ۱۷ آبان ۱۴۰۱ ۱۰:۵۵ قبل از ظهر
فهرستی از افرادی که تلفن همراه آنها به بدافزار پریدیتور آلوده شده است، روز یکشنبه توسط روزنامه چپگرای داکیومنتو منتشر شد. این خبر به نقل از دو منبع آگاهی منتشر شد که از طرف دولت در این شنود، نقش داشتند. به گزارش ایتنا از ایسنا، نخست وزیر یونان اعلام کرد این گزارش بی‌پایه و اساس است و هیچ مدرکی از دست داشتن دولت در شنود ارائه نمی‌دهد. سخنگوی دولت هم اعلام کرد دولت یونان جاسوس افزاری خریداری یا استفاده نکرده است و مقامات قضایی درباره گزارش مذکور تحقیق خواهند کرد. وی به خبرنگاران گفت: دولت به زودی لایحه‌ای را به پارلمان برای ممنوعیت فروش جاسوس افزار ارائه می‌دهد. ما اجازه نمی‌دهیم هیچ شکی و تردیدی در این باره باقی بماند که جامعه یونان را مسموم کند. بر اساس گزارش رویترز، گزارش داکیومنتو رسوایی شنود که باعث برانگیخته شدن خشم سیاسی در یونان شده است را وارد مرحله جدیدی کرد. همزمان، اتحادیه اروپا در حال بررسی دقیقتر استفاده و فروش جاسوس افزار است.
ادامه مطلب »



مهر
۲۷
​​​​​​​بدافزار جاسوسی RatMilad در کمین کاربران اندروید در خاورمیانه
ارسال شده توسط روشن ۲۷ مهر ۱۴۰۱ ۱۰:۰۲ بعد از ظهر
شرکت  Zimperium اعلام کرده است که این بدافزار جاسوسی اندرویدی از طریق برنامه‌های مخرب و تبلیغاتی موجود در منابع نامعتبر نظیر VPN های تبلیغاتی با قابلیت جعل شماره منتشر می‌شود. به گزارش ایتنا از ایسنا، این برنامه‌های مخرب و تبلیغاتی، اغلب برای تأیید حساب‌ کاربری برنامه‌های ارتباطی و رسانه‌های اجتماعی مانند WhatsApp و Telegram استفاده می‌شوند که پس از نصب، درخواست مجوز دسترسی به تنظیمات دستگاه را ارسال و در عین حال کد مخرب را نیز نصب می‌کند.   Text Me و NumRent نام دو برنامه مخربی(تروجان) هستند که به نصب بدافزار RatMilad منجر می‌شوند. این دو برنامه در فروشگاه‌های برنامه قانونی مانند Google Play در دسترس نیستند اما در تلگرام توزیع شده‌اند؛ همچنین، مهاجمان و توسعه‌دهندگان RatMilad یک وب‌سایت اختصاصی برای تبلیغ تروجان دسترسی از راه دور (RAT) تلفن همراه ایجاد کرده‌اند تا برنامه آنان، موجه و قانونی به‌نظر برسد، این وب‌سایت از طریق آدرس‌های اینترنتی به‌اشتراک گذاشته‌شده در تلگرام یا سایر رسانه‌های اجتماعی و بسترهای ارتباطی تبلیغ می‌شود. طبق اعلام مرکز مدیریت راهبردی افتا، وظیفه بدافزار جاسوسی RatMilad، سرقت لیست های مخاطبین، پیامک‌ها و فایل‌های قربانیان است و همچنین آدرس MAC دستگاه‌های اندرویدی، گزارش تماس، نام حساب کاربری، مجوزها داده‌های موقعیت مکانی GPS، لیست فایل اطلاعات سیم‌کارت (شماره تلفن‌همراه، کشور، IMEI)، فهرست برنامه‌های کاربردی نصب شده به همراه مجوزهای آن‌ها و اطلاعات دستگاه (مدل، نسخه اندروید، برند و ...) را سرقت می‌کند. بدافزار پس از جمع‌آوری داده‌های اطلاعاتی سرقت شده، آن‌ها را برای سرورهای C&C ارسال می‌کند؛ افزون بر سرقت اطلاعات عنوان شده، این بدافزار قابلیت‌های دیگری نظیر ضبط صدا، بارگذاری فایل در سرور C&C، حذف فایل‌ها و تغییر مجوزها را دارد.  با توجه به اینکه روش اصلی آلودگی به این بدافزار، دانلود فایل‌ از منابع نامعتبر نظیر کانال‌های تلگرامی است، کارشناسان مرکز مدیریت راهبردی افتا توصیه می‌کنند، فایل‌ها تنها از منابع معتبر و قانونی دانلود شده و کاربران از باز کردن لینک‌های نامطمئن خودداری کنند.
ادامه مطلب »



مهر
۲۵
دولت قبلی مکزیک متهم به خرید جاسوس‌افزار پگاسوس شد
ارسال شده توسط روشن ۲۵ مهر ۱۴۰۱ ۱۱:۴۹ قبل از ظهر
چند روز پس از این که دولت فعلی مکزیک جاسوسی از خبرنگاران یا منتقدانش را تکذیب کرد، دفتر دادستان کل این کشور به تحقیقات از دو نفر شامل یک مقام بلندپایه سابق درباره استفاده از جاسوس افزار پگاسوس اشاره کرد. به گزارش ایتنا از ایسنا، پگاسوس به شرکت اسرائیلی NSO Group تعلق دارد که معمولا نرم افزار جاسوسی خود را به دولتها یا سازمانهای اجرای قانون می فروشد. دادستانهای مکزیک در بیانیه‌ای اعلام کردند آنها خرید پگاسوس توسط دفتر دادستان کل سابق به مبلغ ۴۵۷ میلیون پزو (۲۳ میلیون دلار) را بررسی خواهند کرد. مقامات مکزیکی می خواهند بدانند آیا این خرید با توجیه مناسب انجام شده و مطابق با رویه‌های مناقصه عمومی بوده است. در دومین تحقیقات، مقامات قضایی مکزیک اعلام کردند شواهدی را دریافت کرده اند که شرکت NSO Group، پگاسوس را به صورت غیرقانونی و بدون ارائه جزییات بیشتر، فروخته است. شرکت NSO Group ماه جاری به رویترز اعلام کرد پگاسوس را تنها به سازمانهای اجرای قانون و اطلاعاتی دولتهای خارجی پس از تایید دولت رژیم صهیونیستی داده و هنگامی که خلافی را شناسایی کرده، به قراردادش خاتمه داده است. این شرکت خاطرنشان کرده که پگاسوس را اداره نمی کند و هیچ اطلاعی درباره نحوه استفاده از آن ندارد و اطلاعات درباره مشتریانش جمع نمی کند. بر اساس گزارش رویترز، این خبر از سوی دادستان کل مکزیک در حالی اعلام شد که دو هفته پیش اندرس مانوئل لوپز اوبرادور، رئیس جمهور مکزیک تکذیب کرد مقاماتش از خبرنگاران یا مخالفان، جاسوسی کرده اند.
ادامه مطلب »



مهر
۲۳
حمله باج‌افزاری به شرکت‌های حمل و نقل اوکراین و لهستان
ارسال شده توسط روشن ۲۳ مهر ۱۴۰۱ ۱۰:۱۰ قبل از ظهر
مایکروسافت در یک پست وبلاگ اعلام کرد نفوذگران روز سه‌شنبه ظرف مدت یک ساعت، مجموعه گسترده‌ای از سیستم‌ها را هدف حمله قرار دادند و این شرکت هنوز نتوانسته است این حملات را به گروه شناخته شده‌ای ربط دهد. با این حال، محققان مایکروسافت دریافتند این حملات هک مشابه حملاتی است که پیش از این تیم سایبری وابسته به روسیه انجام داده و فعالیت سازمان‌های دولتی اوکراین را مختل کرده بود. به گزارش ایتنا از ایسنا، به گفته محققان امنیتی و مقامات دولتی بلندپایه غربی، اوکراین از زمان آغاز جنگ در اواخر فوریه، هدف حملات سایبری متعددی قرار گرفته است. با این حال، سفارت روسیه در واشنگتن و سازمانهای امنیت سایبری اوکراین یا لهستان در این باره اظهارنظر نکردند. باج افزار جدیدی که توسط مایکروسافت شناسایی شده است، "پرستیژ" نام داشته و با حملات سایبری بدافزار "فاکس لود" یا "هرمتیک وایپر" همپوشانی دارد. صدها رایانه در اوکراین، لیتوانی و لتونی در آغاز حمله نظامی روسیه به اوکراین، هدف حمله سایبری قرار گرفتند. طبق گزارش مایکروسافت، باج افزار پرستیژ با رمزنگاری اطلاعات قربانیان، کار می‌کند و یک یادداشت باج باقی می‌گذارد که اطلاعات تنها با خرید ابزار رمزگشایی، قابل دسترسی خواهد بود. در چندین مورد، محققان مشاهده کردند که هکرها کنترل مدیر سیستم‌های قربانیان را پیش از استفاده از باج افزار به دست گرفتند که نشان می‌دهد آنها اطلاعات ورود به سیستم را ابتدا به سرقت می‌برند و سپس منتظر لحظه مناسب می‌مانند. بر اساس گزارش رویترز، محققان مایکروسافت خاطرنشان کردند استفاده گسترده از باج‌افزار در اوکراین، متداول نیست و این فعالیت به فعالیت ۹۴ گروه باج افزاری فعالی که مایکروسافت رصد می کند، ارتباطی ندارد.
ادامه مطلب »