Live Chat Software by Ariaphone |
اخبار
فروردین ۲۷ |
هشدار: انتشار بدافزارها از طریق فیلترشکنها
ارسال شده توسط روشن ۲۷ فروردین ۱۴۰۲ ۱۱:۵۵ قبل از ظهر
|
محققان امنیت سایبری «ترند مایکرو» در فوریه امسال یک کارزار جدید نشر بدافزار از طریق تبلیغات (malvertising) را کشف کردند که کاربران ایرانی را هدف قرار میداده و از این طریق بدافزار توزیع میکرده است. این کارزار از طریق مجموعهای از وبسایتهای جعلی که دانلود نرمافزارها را تبلیغ میکنند، فعالیت میکرده است. در این نمونه ترفند تبلیغات مخرب، کاربران ناآگاه را به سمت دانلود یک ویپیان جعلی هدایت میکرده تا افراد همراه با این فیلترشکن یک فایل حاوی بدافزار «اُپیسیجکر» (Opcjacker) را دانلود کنند. این بدافزار بهدلیل طراحی پیکربندی «آپکد» (opcode) و قابلیت سرقت ارزهای دیجیتال «اُپیسیجکر» نامگذاری شده است. آپکد بخشی از مجموعه دستورالعملهای زبان ماشین است که تعیین میکند چه دستوری باید از طریق پردازنده اجرا شود.
بدافزار به طور خودکار با وصله کردن یک کتابخانه «دیالال» (DLL) قانونی در یک ویپیان نصبشده بارگیری میشود که کتابخانه این فایل مخرب را بارگیری میکند. طبق گزارش محققان، عملکرد خاص این بدافزار شناسایی آن را دشوار میکند.
این بدافزار قابلیت گرفتن «اسکرین شات»، ثبت فعالیتهای صفحه نمایش، سرقت دادههای خصوصی و حساس کاربر از مرورگرها، و ربودن کیف پولهای ارز دیجیتال را دارد. این کارزار حداقل از اواسط سال ۲۰۲۲ فعال بوده و توسعه و قربانی گرفتن آن ادامه دارد.
نکته جالب در فعالیت نمونه اخیر این است که وبسایت این ویپیان جعلی پیش از هدایت قربانی به سوی لینک آلوده، آدرس آیپی فرد را بررسی میکرده و اگر شخص مورد نظر از فیلترشکن استفاده میکرده و آیپی او مربوط به ایران نبوده، هدف حمله قرار نمیگرفته و فقط کاربران با آیپی ایران، به سمت لینکهای آلوده هدایت میشدند.
اکتبر ۲۰۲۲ در نمونهای مشابه، یک گروه هکر ایرانی با انتشار یک فیلترشکن حاوی جاسوس افزار در تلگرام، شهروندان ایرانی را هدف قرار دادند. جاسوس افزار پنهان شده در فیلترشکن به مهاجمان امکان دسترسی به دادههای مهم دستگاه از جمله موقعیت مکانی، تماسهای تلفنی، دفترچه تلفن، فایلهای رسانهای و پیامک را میداد. علاوه بر این، مهاجمان می توانستند به دوربین و میکروفون دستگاه دسترسی داشته باشند و اقدام به ضبط صدا و تصویر کنند.
نشر بدافزار (Malvertising) چگونه کار میکند؟
Malvertising یا همان نشر بدافزار از طریق تبلیغات حملهای است که در آن مجرمان اینترنتی، کدهای مخرب را به شبکههای تبلیغات قانونی تزریق میکنند. این کد کاربران را به وبسایتهای مخرب هدایت میکند، بدون اینکه شبکههای تبلیغات از موضوع خبر داشته باشند. اکوسیستم تبلیغات آنلاین یک شبکه پیچیده است که شامل سایتهای ناشر، مبادلات تبلیغاتی، سرورهای تبلیغاتی، شبکههای هدفگیری مجدد و شبکههای تحویل محتوا است. پس از کلیک کاربر بر روی لینک تبلیغ، چندین تغییر مسیر بین سرورهای مختلف رخ میدهد. مهاجمان از این پیچیدگی برای قرار دادن لینک مخرب در بین محتوای تبلیغاتی سوءاستفاده میکنند.
در این نوع حمله، مهاجمان قطعه کوچکی از کد مخرب را در اعماق یک تبلیغ قانونی پنهان میکنند که دستگاه کاربر را به سمت یک سرور مخرب هدایت میکند. در اغلب موارد هنگامی که کاربر با موفقیت به سرور متصل می شود، یک «کیت اکسپلویت» تعبیهشده روی آن سرور اجرا میشود. کیت اکسپلویت نوعی بدافزار است که سیستم را ارزیابی و مشخص میکند که چه آسیبپذیریهایی در سیستم وجود دارد و از آسیبپذیری بهرهبرداری میبرد. از آنجا به بعد، مهاجم میتواند با استفاده از دور زدن سیستم امنیتی، بدافزار یا نرمافزارهای دلخواه را نصب کند و اقدامهای مدنظر خود را انجام دهد. تمام این اقدامها دور از دید کاربر و بدون هیچ گونه تعاملی از جانب او رخ میدهد.
روشهای جلوگیری از حمله نشر بدافزار از طریق تبلیغات چیست؟
اولین گام حفظ امنیت آنلاین، بهروز نگه داشتن سیستم عامل، برنامههای کاربردی و مرورگرها است. اگر نرمافزارهای فلش یا جاوا روی دستگاه خود دارید و از آنها استفاده نمیکنید، اقدام به حذف آن کنید؛ زیرا در این نوع حمله مهاجمان به دنبال راههایی برای سوءاستفاده از نقاط ضعف در چنین نرمافزارهاییاند.
قبل از کلیک کردن، فکر کنید! مهاجمان اینترنتی تلاش میکنند با القای هیجان شما را وادار به کلیک کردن روی لینک مورد نظرشان کنند. قبل از وارد شدن به یک تبلیغ یا لینک شناختهنشده درباره آن تحقیق کنید و سریع تصمیم نگیرید. استفاده از مسدودکنندههای تبلیغاتی نیز میتواند تاثیر زیادی در کاهش نمایش تبلیغات مخرب داشته باشد. مسدود کردن تبلیغات همچنین مزایای بیشتری از جمله کاهش تعداد کوکیهای بارگذاریشده در دستگاه و جلوگیری از ردیابی شدن و صرفهجویی در اینترنت مصرفی دارد.
اگر شما از طریق تبلیغات به صفحه دانلود یک برنامه هدایت شدید، پیش از دانلود برنامه صحت و سلامت صفحه را بررسی کنید. برای اینکار نام ابزار را جستوجو کنید تا از این طریق دریابید که نسخه اصلی برنامه به شما نمایش داده شده یا یک نسخه جعلی. همچنین از سرویسهای بررسی لینک هم میتوان برای اطمینان از سالم بودن لینکهای مشکوک استفاده کرد. سرویس ویروس توتال و نورتون از نمونههای معروف ابزارهای بررسی لینکاند.
منبع: ایندیپندنت
ادامه مطلب » | |
فروردین ۲۴ |
بدافزار اسرائیلی روزنامهنگاران و سیاستمداران را هدف می گیرد
ارسال شده توسط روشن ۲۴ فروردین ۱۴۰۲ ۱۰:۰۵ قبل از ظهر
|
بدافزار جدید ساخت شرکت اسرائیلی که یادآور برنامه پگاسوس است، روزنامهنگاران و سیاستمداران را در کشورهای مختلف هدف گرفته است و مکالمههای تلفنی و صداهای خارجی اطراف تلفن را طریق میکروفون ضبط میکند. این بدافزار میتواند بدون اطلاع کاربر با دوربین تلفن عکس بگیرد و محتوای گوشی و اطلاعات آن را بررسی کند.
به گزارش ایتنا و به نقل از ایندیپندنت، یک دیدبان کانادایی که روی این موضوع تحقیق میکند، شرکت کوچک و کمتر شناخته شده کوادریم QuaDream که یک نظامی سابق اسرائیلی آن را بنیان گذاشته است، و گرو کهنهسربازان NSO که خالق پگاسوس Pegasus بودند، سازنده این بدافزارند.
براساس این گزارش، اهداف این بدافزار در آمریکای شمالی، آسیای مرکزی، جنوب شرق آسیا، اروپا و خاورمیانه شناسایی شدهاند. این افراد عمدتا روزنامهنگار، سیاستمدارا و یا چهرههای اپوزیسیون بودند.
این بدافزار که میتواند از طریق فیشینگ وارد کامپیوتر و تلفن همراه شود، اطلاعات را بدون اینکه کاربر متوجه شود به اپراتور مخابره میکند.
این بدافزار همچنین کد دو مرحلهای خود را ایجاد میکند که امکان ادامه دسترسی به حسابهای «ابری» کاربر را فراهم میکند.
این بدافزار پس از پایان ماموریت میتواند ردپای خود را هم پاک کند.
گفته میشود که کوادریم، خدمات این بدافزار را به مشتریانی در خاورمیانه، آسیا و آمریکای جنوبی ارایه داده است.
ادامه مطلب » | |
اسفند ۱۰ |
بدافزار Rhadamanthys از طریق تبلیغات گوگل اطلاعات را سرقت میکند
ارسال شده توسط روشن ۱۰ اسفند ۱۴۰۱ ۱۰:۰۸ قبل از ظهر
|
بدافزار Rhadamanthys سرقت کننده جدید اطلاعات است که با استفاده از Google Ads کاربران را به وبسایتهای مخرب هدایت میکند. این بدافزار با تکنیک Hijacks Google Ads از نرمافزارهای مجاز برای انتشار خود، سوء استفاده میکند و در تلاش است تا دسترسی اولیه به سیستم قربانی را به دست آورد. هنگام دانلود برنامه بهظاهر مجاز، یک نصب کننده نیز دانلود میشود که بدون اطلاع کاربر، بدافزار سرقت کننده را نیز نصب میکند.
به گزارش ایتنا از ایسنا، هدف این بدافزار سیستمهای ویندوزی بوده و قادر به اجرای برخی از دستورات PowerShell است. بدافزار Rhadamanthys برنامههای مختلفی ازجمله FTP Client، برنامههای مدیریت فایل و رمزعبور، Email Client، VPN، پیامرسانها و دیگر برنامهها را نیز برای سرقت اطلاعات هدف قرار داده است. مهاجمان سایبری با استفاده از این بدافزار مرورگرهای مختلفی همچون Edge، Firefox، Chrome، Opera را برای جمعآوری اطلاعاتی نظیر کوکیها، اعتبارنامهها، دانلودهای انجامشده و افزونهها هدف قرار میدهند.
طبق اعلام مرکز مدیریت راهبردی افتا، بدافزار Rhadamanthys علاوه بر موارد گفته شده، کیف پول ارزهای دیجیتال را هدف قرار میدهد و تلاش میکند رمزهای عبور قربانیان را استخراج کند. بدافزار جدیدبا نام Rhadamanthys Stealer به زبان C++ نوشتهشده است و از طریق ایمیلهای اسپم حاوی پیوست مخرب و یا تبلیغات گوگل در صفحات مخرب منتشر میشود که کاربر را به سایتهای فیشینگ نرمافزارهای محبوبی مانند Bluestacks، Notepad++، AnyDesk، Zoom هدایت میکند.
ادامه مطلب » | |
اسفند ۰۲ |
بدافزار RisePro در کمین کاربران
ارسال شده توسط روشن ۰۲ اسفند ۱۴۰۱ ۱۰:۰۸ بعد از ظهر
|
بدافزاری جدید با نام RisePro از طریق سایتهای کِرَکِ جعلی در حال انتشار است که هدفش جاسوسی، سرقت اطلاعات کارتهای اعتباری، رمزعبور و کیفهای ارز دیجیتال است.
بهگزارش ایتنا از ایسنا، بدافزار RisePro برنامهای مخرب برای دسترسی غیرمجاز به سیستمهای کامپیوتری است که به کمک سرویس توزیع بدافزار PrivateLoader در حال انتشار است. این بدافزار نوعی تروجان دسترسی از راه دور (RAT) و info stealer به حساب می آید که برای سرقت دادهها، کنترل یک سیستم از راه دور و نصب نرم افزارهای مخرب دیگر استفاده می شود. بدافزار RisePro بهگونه ای طراحی شده است که آنتی ویروسها به سادگی نمیتوانند آن را شناسایی و حذف کنند.
این بدافزار را پیوندهای مخرب و پیوستهای ایمیل (کمپینهای هرزنامه مخرب) منتشر و مهاجمان از آن برای کلاهبرداری مالی، سرقت هویت و جاسوسی استفاده می کنند. بدافزار RisePro اطلاعات خصوصی افراد را جمع آوری و آنها را به صورت لاگ استخراج می کند و مجرمان سایبری از دادههای جمعآوریشده برای سرقت هویت، حسابهای اینترنتی و انجام خریدها و تراکنشهای غیرمجاز (از جمله تراکنشهای ارز دیجیتال) استفاده میکنند.
طبق اعلام مرکز مدیریت راهبردی افتا، مهاجمان سایبری همچنین میتوانند برای انتشار بدافزار، کلاهبرداری از سایر کاربران و انجام اقدامات دیگر همچون فروش به اشخاص ثالث و یا بارگذاری در بازارهای سیاه از حسابهای به سرقت رفته استفاده کنند. بنابراین کارشناسان مرکز مدیریت راهبردی افتا از راهبران سیستم های سازمانی در دستگاههای دارای زیرساخت حیاتی، کارشناسان، متخصصان و مدیران حوزه IT خواسته اند تا برای مقابله با بدافزار RisePro از ضد بدافزار بهروزشده، استفاده کنند.
ادامه مطلب » | |
بهمن ۱۷ |
حمله باجافزاری به هزاران سرور رایانه در ایتالیا
ارسال شده توسط روشن ۱۷ بهمن ۱۴۰۱ ۰۹:۵۳ قبل از ظهر
|
ACN به سازمان ها هشدار داده برای حفاظت از سیستم های خود اقداماتی انجام دهند.
به گفته روبرتو بالدونی مدیر عامل ACN، این حمله هکری با سواستفاده از یک شکاف نرم افزاری انجام می شود. این حمله در مقیاس وسیع انجام شده است.
به گزارش ایتنا از مهر، سخنگوی VMare اعلام کرد این شرکت نرم افزاری از گزارش مذکور مطلع شده و در فوریه ۲۰۲۱ میلادی پس از کشف سواستفاده از این شکاف، از مشتریانش خواست تا وصله امنیتی را نصب کنند.
خبرگزاریANSA ایتالیا به نقل از آژانس ملی امنیت سایبری این کشور اعلام کرد سرورهایی در کشورهای اروپایی دیگر مانند فرانسه و فنلاند و همچنین آمریکا و کانادا هک شده اند.
به نظر می رسد حدود ۱۲ سازمان ایتالیایی تحت تاثیر این حمله قرار گرفته اند. در این میان به تعداد زیادی از سازمان ها نیز هشدار داده شده تا برای جلوگیری از قفل شدن سیستم هایشان اقداماتی انجام دهند.
مشتریان «تله کام ایتالیا» اوایل صبح دیروز از اختلالاتی در اینترنت خبر دادند. اما به نظر نمی رسد این دو مشکل بهم مرتبط باشند.
مقامات امنیت سایبری آمریکا نیز اعلام کردند مشغول ارزیابی تاثیر موارد هک گزارش شده هستند. در بیانیه آژانس امنیت سایبری و زیرساخت امنیت آمریکا آمده است: CISA با همکاری شرکایش در بخش عمومی و خصوصی مشغول ارزیابی تاثیرات رویدادهای گزارش شده است و در صورت نیاز کمک رسانی فراهم می کند.
ادامه مطلب » | |