یکی از روش‌های اولیه که توزیع‌کنندگان بدافزار برای آلوده کردن دستگاه‌ها استفاده می‌کنند، فریب دادن افراد به دانلود و اجرای فایل‌های مخرب است و برای دستیابی به این هدف، نویسندگان بدافزار از ترفند‌های مختلفی استفاده می‌کنند.

برخی از این ترفند‌ها شامل مخفی کردن فایل‌های اجرایی بدافزار به عنوان برنامه‌های کاربردی قانونی، امضای آن‌ها با سرتیفیکیت‌های معتبر، یا به خطر انداختن سایت‌های قابل اعتماد برای استفاده از آن‌ها به عنوان نقاط توزیع بدافزار است.

به گفته یک پلتفرم امنیتی برای اسکن فایل‌های آپلود شده برای بدافزار با نام VirusTotal، برخی از این ترفند‌ها در مقیاسی بسیار بزرگتر از آنچه در ابتدا تصور می‌شد اتفاق می‌افتد.

این پلتفرم گزارشی را گردآوری کرده است که از ژانویه ۲۰۲۱ تا ژوئیه ۲۰۲۲ بر اساس ارسال دو میلیون فایل در روز، روند‌های نحوه توزیع بدافزار را نشان می‌دهد.

سواستفاده از دامین‌های قانونی
توزیع بدافزار از طریق وب‌سایت‌های قانونی، محبوب و با رتبه بالا به عوامل تهدید این امکان را می‌دهد تا از فهرست‌های مسدود مبتنی بر IP فرار کنند، از در دسترس بودن بالا لذت ببرند و سطح اعتماد بیشتری را ارائه دهند.

مجموعه VirusTotal، درمجموع 2.5 میلیون فایل مشکوک دانلود شده از ۱۰۱ دامنه متعلق به ۱۰۰۰ وب سایت برتر الکسا را ​​شناسایی کرد.

قابل توجه‌ترین مورد سواستفاده Discord است که به کانون توزیع بدافزار تبدیل شده است و ارائه‌دهندگان خدمات میزبانی و ابری Squarespace و Amazon نیز تعداد زیادی را به نام خود ثبت کرده‌اند.

استفاده از سرتیفیکیت‌های code-signing سرقت شده
امضای نمونه‌های بدافزار با گواهی‌های معتبر دزدیده شده از شرکت‌ها، راهی مطمئن برای فرار از تشخیص آنتی‌ویروس‌ها و هشدار‌های امنیتی در دستگاه میزبان است.

از تمام نمونه‌های مخرب آپلود شده در VirusTotal بین ژانویه ۲۰۲۱ تا‌آوریل ۲۰۲۲، بیش از یک میلیون مورد امضا شده و ۸۷٪ از یک گواهی معتبر استفاده کردند.

رایج‌ترین مقامات صدور گواهینامه که برای امضای نمونه‌های مخرب ارسال شده به VirusTotal استفاده می‌شوند عبارتند از Sectigo، DigiCert، USERTrust و Sage آفریقای جنوبی.

پنهان شدن در قالب نرم‌افزار محبوب
پنهان کردن یک بدافزار قابل اجرا به عنوان یک برنامه معتبر و محبوب در سال ۲۰۲۲ روند صعودی داشته است.
قربانیان با تصور اینکه برنامه‌های مورد نیاز خود را دریافت می‌کنند، این فایل‌ها را دانلود می‌کنند، اما با اجرای نصب‌کننده‌ها، سیستم‌های خود را با بدافزار آلوده می‌نمایند.

برنامه‌هایی که بیشترین تقلید را دارند (با نماد) Skype، Adobe Acrobat، VLC و 7zip هستند.

برنامه محبوب بهینه‌سازی ویندوز CCleaner که در کمپین آلودگی سئو اخیر مشاهده شد، یکی از گزینه‌های برجسته هکر‌ها است و نسبت آلودگی فوق‌العاده بالایی را برای حجم توزیع آن دارد.

فیلتراسیون نصب‌کننده‌های قانونی
در نهایت، ترفند پنهان کردن بدافزار در نصب‌کننده‌های قانونی برنامه و اجرای فرآیند آلودگی در پس‌زمینه در حالی که برنامه‌های واقعی در پیش‌زمینه اجرا می‌شوند، وجود دارد.

این فرآیند به فریب قربانیان کمک می‌کند و همچنین از برخی موتور‌های آنتی ویروس که ساختار و محتوای منابع PR را در فایل‌های اجرایی بررسی نمی‌کنند، فرار می‌کند.

بر اساس آمار VirusTotal، به نظر می‌رسد که این روش امسال نیز در حال افزایش است و از Google Chrome، Malwarebytes، Windows Updates، Zoom، Brave، Firefox، ProtonVPN و Telegram به عنوان فریب استفاده می‌شود.

چگونه ایمن بمانیم
هنگامی که به دنبال دانلود نرم‌افزار هستید، یا از فروشگاه برنامه داخلی سیستم عامل خود استفاده کنید یا از صفحه دانلود رسمی برنامه دیدن کنید. همچنین، مراقب موارد تبلیغاتی در نتایج جستجو باشید که ممکن است رتبه بالاتری داشته باشند، زیرا به راحتی می‌توان آن‌ها را جعل کرد تا شبیه سایت‌های قانونی به نظر برسند.

پس از دانلود یک نصب‌کننده، همیشه قبل از اجرای فایل، یک اسکن AV روی آن انجام دهید تا مطمئن شوید که بدافزاری در آن‌ها پنهان نیستند.

در نهایت، از استفاده از سایت‌های تورنت برای کرک‌ها یا keygens برای نرم‌افزار‌های دارای حق نشر خودداری کنید، زیرا معمولاً منجر به ایجاد آلودگی به بدافزار می‌شوند.

بیشتر بخوانید

کارشناسان امنیتی پلتفرم آنلاین Zscaler تحلیلی از نوع جدید بدافزار شناخته شده Raccoon Stealer منتشر کرده‌اند.

مجموعه Zscaler در یک توصیه‌نامه امنیتی نوشت که نسخه جدید بدافزار برخلاف نسخه‌های قبلی که عمدتاً در C++ نوشته شده بودند، به زبان C نوشته شده است.

بدافزار Raccoon Stealer 2.0 دارای یک back-end و front-end جدید و کدی برای سرقت اطلاعات کاربری و سایر داده‌ها به شکل کاملاً مؤثرتر است.

نسخه جدید سارق اعتبارنامه همچنین می‌تواند روی سیستم‌های ۳۲ و ۶۴ بیتی بدون نیاز به هیچ گونه وابستگی اضافی کار کند، در عوض هشت DLL قانونی را مستقیماً از سرور‌های C2 خود (به‌جای تکیه بر API ربات تلگرام) دریافت کند.

سرور C2 همچنین مسئول پیکربندی بدافزار است، از جمله برنامه‌های هدف، URL میزبان DLL و توکن‌هایی برای استخراج داده‌ها. سپس سرور‌ها داده‌های فینگرپرینت دستگاه را دریافت می‌کنند و منتظر درخواست‌های POST فردی می‌مانند که حاوی اطلاعات سرقت شده است.

بر اساس گزارش‌ها، انواع داده‌هایی که توسط Raccoon Stealer 2.0 به سرقت رفته است شامل اطلاعات فینگرپرینت سیستم، رمز‌های عبور مرورگر، کوکی‌ها، داده‌های تکمیل خودکار و کارت‌های اعتباری ذخیره‌شده، کیف پول‌های ارز‌های دیجیتال، فایل‌های موجود بر روی همه دیسک‌ها، اسکرین‌شات‌ها و لیست‌های برنامه‌های نصب شده است.

مجموعه Zscaler نوشت: «ما همچنین شاهد تغییری در نحوه پنهان کردن Raccoon Stealer v2 با استفاده از مکانیزمی بودیم که در آن نام‌های API به‌جای بارگذاری استاتیک به صورت پویا حل می‌شوند.»

طبق گزارشات، عملیات Raccoon Stealer در مارس ۲۰۲۲ پس از مرگ یکی از توسعه‌دهندگان اصلی در جریان تهاجم روسیه به اوکراین، تعطیل شد.

این تیم سپس در تالار‌های دارک‌وب نوشت که بر اساس تحلیل تحلیلگران امنیتی در Sekoia، با یک پست وبلاگ در یک انجمن دارک‌وب نامعلوم که نشان می‌دهد Raccoon Stealer 2.0 قبلاً در ماه می‌در حال توسعه بود، بازخواهند گشت.

تحلیل Zscaler می‌گوید: Raccoon Stealer که به عنوان Malware-as-a-Service فروخته می‌شود در چند سال گذشته محبوب شده و چندین مورد از این بدافزار مشاهده شده است.

«نویسندگان این بدافزار دائماً ویژگی‌های جدیدی را به این خانواده بدافزار اضافه می‌کنند. این دومین انتشار بزرگ بدافزار پس از اولین انتشار در سال ۲۰۱۹ است. این نشان می‌دهد که بدافزار احتمالاً تکامل می‌یابد و همچنان به عنوان تهدیدی دائمی برای سازمان‌ها باقی می‌ماند.»

بیشتر بخوانید

اپراتور‌های بد افزار Gootkit access-as-a-service (AaaS) با تکنیک‌های به روز شده برای به خطر انداختن قربانیان ناآگاه دوباره در فضای سایبری ظاهر شده‌اند.

بادی تانسیو و جید والدراما، محققان Trend Micro هفته گذشته در گزارشی گفتند: «در گذشته، Gootkit از نصب‌کننده‌های نرم‌افزار رایگان برای پوشاندن فایل‌های مخرب استفاده می‌کرد؛ اما اکنون از اسناد قانونی برای فریب کاربران برای دانلود این فایل‌ها استفاده می‌کند.»

این یافته‌ها بر اساس گزارش قبلی از eSentire است که در ژانویه حملات گسترده‌ای را با هدف استقرار بد افزار در سیستم‌های آلوده به کارمندان حسابداری و شرکت‌های حقوقی فاش کرد.

بد افزار Gootkit بخشی از اکوسیستم زیرزمینی در حال گسترش دسترسی بروکر‌ها است، که برای سایر عاملان مخرب راهی برای ورود به شبکه‌های شرکتی با یک قیمت اندک فراهم می‌کند و راه را برای حملات آسیب‌رسان واقعی مانند باج‌افزار هموار می‌نماید.

لودر از نتایج موتور جستجوی مخرب استفاده می‌کند، تکنیکی به نام آلودگی SEO، تا کاربران ناآگاه را به بازدید از وب‌سایت‌های آسیب‌دیده که میزبان فایل‌های پکیج ZIP با بدافزار هستند که ظاهراً مربوط به توافق‌نامه‌های افشای معاملات املاک و مستغلات هستند، جذب کند.

محققان خاطرنشان کردند: «ترکیبی از آلودگی سئو و وب سایت‌های قانونی در معرض خطر می‌تواند شاخص‌های فعالیت مخربی را که معمولاً برای کاربرانی که مراقب فعالیت‌های خود هستند، پنهان کند.»

فایل ZIP، به نوبه خود، شامل یک فایل جاوا اسکریپت است که یک باینری Cobalt Strike را بارگذاری می‌کند، ابزاری که برای فعالیت‌های پس از بهره‌برداری که مستقیماً بدون فایل در حافظه اجرا می‌شود، استفاده می‌شود.

محققان گفتند: «Gootkit هنوز فعال است و تکنیک‌های خود را بهبود می‌بخشد. این نشان می‌دهد که این عملیات مؤثر بوده است، زیرا به نظر می‌رسد دیگر عوامل تهدید به استفاده از آن روی آورده و ادامه می‌دهند.»

بیشتر بخوانید
error: شما اجازه کپی کردن ندارید !!