|

چه بدافزاری کاربران ویندوز را مورد هدف قرار داده است؟

براساس اعلام کارشناسان یک نرم‌افزار مخرب به‌طور خاص، کاربران ویندوز را مورد هدف قرار داده و افرادی را که از میزبان‌های دیگر استفاده می‌کنند، به یک صفحه وب بی‌خطر هدایت می‌کند.

چه بدافزاری کاربران ویندوز را مورد هدف قرار داده است؟

به گزارش شبکه شرق، تروجان یا Trojan، نوعی نرم‌افزار مخرب است که به صورت پنهان و بدون اطلاع کاربر، به سیستم وارد می‌شود و اجازه می‌دهد تا افراد سوءاستفاده‌گر بر روی سیستم شما کنترل داشته باشند. تروجان‌ها به طور معمول به عنوان بخشی از یک بسته نرم‌افزاری دیگر، به کاربران ارائه می‌شوند و در صورت نصب شدن، به طور پنهان فعال می‌شوند و ممکن است اطلاعات شخصی شما را دزدیده و به سایر افراد بدهند.

تروجان‌ها می‌توانند از طریق دانلود اپلیکیشن‌ها از منابع ناشناس، پیام‌های اسپم، پیوست‌های مشکوک در ایمیل‌ها و حتی از طریق برنامه‌های قابل اعتماد نصب شوند. آن‌ها معمولا تلاش می‌کنند به صورت پنهان و بدون امکان تشخیص، اطلاعات شخصی مانند رمزهای عبور، شماره تلفن، مکان جغرافیایی و دیگر اطلاعات حساس افراد را به دست آورند.

درباره نحوه کار تروجان‌ها می‌توان گفت که ممکن است آنها برروی دستگاه شما ظاهر شوند و به عنوان به‌روزرسانی اضطراری در فروشگاه برنامه‌های شخص ثالث یا از طریق لینک‌های مخرب که بر روی آن‌ها کلیک می‌کنید ظاهر شوند. آن‌ها همچنین می‌توانند برنامه‌های بانکی یا برنامه‌های پرداختی که شما استفاده می‌کنید، همراه با سایر برنامه‌های شبکه‌اجتماعی را مورد سوءاستفاده قرار دهد.

حال به تازگی اعلام شده است بدافزار جدید ZenRAT کاربران ویندوز را از طریق نرم‌افزار مدیریت رمز عبور جعلی مورد هدف قرار می‌دهد. نسخه جدیدی از نرم‌افزار مخرب ZenRAT در فضای سایبری مشاهده شده است که از طریق بسته‌های نصب جعلی نرم‌افزار مدیریت کلمات عبور Bitwarden توزیع می‌شود.

این نرم‌افزار مخرب به‌طور خاص، کاربران ویندوز را مورد هدف قرار داده و افرادی را که از میزبان‌های دیگر استفاده می‌کنند، به یک صفحه وب بی‌خطر هدایت می‌کند. این نرم‌افزار مخرب یک تروجان (RAT) از راه دور ماژولار با قابلیت سرقت اطلاعات است. ZenRAT  در وب‌سایت‌های جعلی که وانمود می‌کنند به Bitwarden مرتبط هستند، میزبانی می‌شود، اگرچه مشخص نیست که چگونه ترافیک به دامنه‌های مختلف هدایت می‌شود. چنین نرم‌افزار مخربی در گذشته از طریق حملات فیشینگ، بدافزار تبلیغانی یا حملات مرتبط با موتورهای جستجو (SEO) منتشر شده است.

بارگیری بسته (Bitwarden-Installer-version-2023-7-1.exe) از crazygameis[.]com، یک نسخه تروجانی از بسته نصب استاندارد Bitwarden است که شامل یک فایل اجرایی مخرب. NET  (ApplicationRuntimeMonitor.exe)  است.  یکی از جنبه‌های قابل‌توجه حمله به این شکل است که کاربرانی که از سیستم‌های غیر ویندوزی استفاده می‌کنند، به وب‌سایت جعلی شامل مقاله‌ای منتشر شده  از سال 2018 در opensource.com هدایت می‌شوند که این مقاله درباره «چگونگی مدیریت کلمات عبور با استفاده از Bitwarden» است.

علاوه بر این، کاربران سیستم عامل ویندوز که بر روی لینک‌های دانلود مخصوص سیستم‌عامل‌های Linux یا macOS در صفحه دانلود کلیک می‌کنند، به وب‌سایت معتبر Bitwarden با آدرس vault.bitwarden.com هدایت می‌شوند. پس از بررسی و تحلیل اطلاعات فایل installer مشخص شد که مهاجم در تلاش است تا نرم‌افزار مخرب را به‌عنوان "Speccy" که یک نرم‌افزار تولید شده توسط شرکت Piriform است و برای سیستم‌های ویندوز طراحی شده است، نشان دهد. این نرم‌افزار به کاربران امکان مشاهده و نمایش جزئیات و اطلاعات مربوط به سخت‌افزار و نرم‌افزار روی کامپیوترهای شخصی خود را می‌دهد.

به عبارت دیگر، Speccy به کاربران کمک می‌کند تا اطلاعات مختلفی از جمله اطلاعات سیستمی مانند نوع و مدل سخت‌افزارها، دما، وضعیت دیسک‌ها و اطلاعات نرم‌افزاری مانند نسخه سیستم‌عامل و برنامه‌های نصب شده را بررسی و مشاهده کنند. این ابزار معمولاً به منظور اطلاع از وضعیت سیستم و رفع مشکلات عملکردی و عیب‌یابی در سیستم‌های ویندوز مورد استفاده قرار می‌گیرد.

امضای دیجیتال مورد استفاده برای امضای فایل‌های اجرایی، نه تنها نامعتبر است بلکه ادعا می‌شود که توسط Tim Kosse، یک دانشمند کامپیوتر معروف آلمانی که برای توسعه نرم‌افزار FTP رایگان FileZilla شناخته می‌شود، امضا شده است. با اجرای ZenRAT، اطلاعاتی از جمله نام CPU، نام GPU، نسخه سیستم‌عامل، اطلاعات اعتبار مرورگر و نرم‌افزارهای نصب شده و نرم‌افزارهای امنیتی از میزبان جمع‌آوری می‌شود و به یک سرور کنترل دستور (C2) اداره شده توسط مهاجم با آدرس 85.186.72.14 ارسال می‌شوند.

ZenRAT طوری تنظیم شده است که گزارشات خود را به سرور به‌صورت متن ساده ارسال خواهد کرد. این گزارشات شامل بررسی‌های سیستمی انجام شده توسط نرم‌افزار مخرب و وضعیت اجرای هر ماژول است. بنابراین مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) توصیه می کند همیشه نرم‌افزارها و برنامه‌ها را از منابع معتبر و رسمی دانلود کنید. در خصوص Bitwarden، توصیه می‌شود از وب‌سایت رسمی آن (vault.bitwarden.com) استفاده کنید.

همچنین هنگام دانلود یک نرم‌افزار، امضای دیجیتال را بررسی کنید تا از معتبر بودن آن اطمینان حاصل کنید. اگر امضای دیجیتال نامعتبر یا نادرست باشد، نرم‌افزار را نصب نکنید. در پایان توجه کنید به چه دامنه‌ای از وب‌سایت می‌روید؛ از وب‌سایت‌های جعلی یا مشکوک دوری کرده و تنها به وب‌سایت‌های معتبر دسترسی داشته باشید. 

 

منبع: ايسنا
 

اخبار مرتبط سایر رسانه ها