انتشار بدافزار در قالب نرم‌افزارهای جعلی

این کار با هدف قربانی کردن حجم بیشتری از کاربران صورت گرفته است. در همین راستا، آزمایشگاه کسپرسکی به‌تازگی یک گروه تهدید پیشرفته مستمر به نام StrongPity را شناسایی کرده است. این گروه هکری کاربران را ترغیب می‌کنند برای حفظ امنیت و همچنین ایمن نگهداشتن ارتباطات خود، از نرم‌افزارهایی که این گروه طراحی کرده‌اند، استفاده کنند. گروه StrongPity APT برای این منظور از بردار حمله گودال آب (watering-hole) به‌منظور نصب آلوده‌کننده‌ها و بدافزارها استفاده می‌کنند. این گروه سال‌ها است با استفاده از این تکنیک کاربران را قربانی خود ساخته‌اند. آن‌ها کاربران را به سمت سایت‌هایی که به ظاهر قانونی هستند یا سایت‌هایی که مشابه با نمونه واقعی طراحی شده‌اند، هدایت می‌کنند. حمله گودال آب، سبک خاصی از حمله است که به‌منظور فریب دادن گروه مشخصی از کاربران برای هدایتشان به سمت سایت‌هایی که هکرها از آن‌ها حمایت می‌کنند، استفاده می‌شود.

مطلب پیشنهادی

بیگانه‌ای پرسه می‌زند شماره 186

هکرها فناوری JEA مایکروسافت را برای نفوذ به سیستم‌های کامپیوتری می‌شکنند

در این تکنیک کاربران به سمت سایت‌هایی هدایت می‌شوند که در آن‌ها فرایند دانلود تحت نظارت هکرها انجام می‌شود. این گروه تاکنون موفق شده‌اند تعدادی از کاربران ساکن اروپا، شمال آفریقا و طیف گسترده‌ای از کاربران ساکن خاورمیانه را قربانی خود کنند. این گروه همچنین دو ابزار رایگان رمزنگاری به نام‌های TrueCrypt و winRar را در حملات متفاوتی قربانی خود ساخته‌اند. ابزارهای Winrar و TrueCrypt جایگاه ویژه‌ای نزد کاربران دارند و در حوزه حریم خصوصی و امنیت بسیار محبوب هستند. winRar عمدتاً برای فشرده‌سازی توأم با رمزنگاری فایل‌ها و بر مبنای الگوی رمزنگاری AES 256 بیتی استفاده می‌شود؛ در مقابل trueCrypt یک ابزار رمزنگاری کامل است. این ابزار می‌تواند تمامی فایل‌های روی یک هارددیسک یا حتی خود هارددیسک را به‌منظور پیشگیری از دسترسی افراد غیرمجاز به آن قفل کند. در همین راستا، گروه StrongPity سایتی جعلی را در ارتباط با WinRar به اندازه‌ای حرفه‌ای و دقیق طراحی کرده‌اند که می‌تواند فرایند دانلود را همانند سایت‌های معتبر مدیریت کند.

گزارش‌ها نشان می‌دهند که در طول این مدت کاربران زیادی قربانی نسخه‌های مخرب این دو نرم‌افزار معروف شده‌اند. کاربران در حالی از این دو ابزار برای رمزنگاری فایل‌ها یا داده‌ها خود استفاده کرده‌اند که در عمل، ابزار Winrar به تروجانی آلوده بوده است که پیش از رمزنگاری فایل‌ها، اطلاعات حساس را برای هکرها ارسال می‌کرد. همین موضوع درباره ابزار truecrypt نیز صدق می‌کند. این گروه در سال 2015 حمله گودال آب را در خصوص نرم‌افزار truCrypt به مرحله اجرا درآورده بودند، اما فعالیت آ‌ن‌ها در سال 2016 و به‌ویژه در فصل تابستان به اوج خود رسید. در خلال ماه‌های جولای تا سپتامبر، موفق شدند حجم قابل توجهی از کاربران را از دامنه tamindir[.]com به دامنه true-crypt[.].com هدایت کنند. شایان ذکر است این گروه برای نرم‌افزار WinRar از روش دیگری برای فریب کاربران استفاده کردند. آن‌ها به جای اینکه قربانیان را به سمت سایت‌های تحت کنترل خود هدایت کنند، کنترل سایت winrar.it را به دست آوردند تا بتوانند نسخه مخربی از فایل خود را روی این سایت آپلود کنند.

عمدتاً کاربران ساکن در ایتالیا، بلژیک، تونس، الجزایر، فرانسه، مراکش و ساحل عاج از سایت winrar.it استفاده می‌کنند. آن‌ها برای اینکه مطمئن شوند ضریب موفقیتشان افزایش پیدا می‌کند، سراغ سایت winrar.be نیز رفتند. گزارش کسپرسکی اعلام می‌کند که در سال جاری حداقل هزار سیستم کامپیوتری به بدافزار StrongPity آلوده شده‌اند. این گروه، بدافزار خود را بر مبنای گواهی‌نامه‌های دیجیتالی غیرمرسوم امضا کرده‌اند. بدافزار یادشده، به دانلود مؤلفه‌هایی همچون در پشتی، ربایش‌گر کلیدهای تایپ‌شده از سوی کاربران، برنامه‌های کاربردی مربوط به رمزنگاری همچون putty SSH client ، filezilla FTP client و برنامه انتقال امن فایل‌ها (Winscp) اقدام می‌کند. بدافزار مذکور نه تنها به هکرها اجازه می‌دهد کنترل سیستم قربانی را به دست آوردند، بلکه به آن‌ها اجازه می‌دهد محتوای موجود روی رسانه مورد استفاده کاربر را به سرقت ببرند و بدافزارهای دیگری را روی سیستم قربانی نصب کنند؛ به‌طوری که هکرها می‌توانند ارتباطات و اطلاعاتی که سیستم قربانی ارسال یا دریافت می‌کند، شنود کنند. 
با توجه به گزارش کسپرسکی، پیشنهاد می‌کنیم پیش از آنکه به سراغ فروشگاه‌های نرم‌افزاری متفرقه بروید، حتماً اصالت آن‌ها را بررسی و اطمینان حاصل کنید نرم‌افزارها از امضاهای دیجیتالی قدرتمندی استفاده کرده باشند.