بدافزار جوکر چیست و چه تأثیری بر دستگاه‌های اندرویدی دارد؟

/در , , , , , , , , , , , , /توسط

بدافزار جوکر نیز یکی دیگر از تهدیدهایی است که حریم خصوصی و اطلاعات حساس شما را تحت تأثیر قرار می‌دهد. اخیرا این بدافزار به دستگاه‌های اندرویدی در سرتاسر جهان حمله کرده و همین موضوع باعث شده تا چندین اپلیکیشن از فروشگاه گوگل پلی حذف شوند.

مطالب بالا را ذکر کردیم تا بدین ترتیب توانسته باشیم که خطرناک بودن این بدافزار را به شما نشان دهیم. اگر می‌خواهید که دستگاه خود را ایمن نگه دارید، آنگاه باید این بدافزار را شناخته و همچنین نحوه کارکرد آن را نیز بهتر درک کنید.

بدافزار جوکر چیست؟

بدافزار جوکر

دلیل نام‌گذاری این بدافزار به جوکر، این است که خود را شبیه به یک اپلیکیشن معتبر نشان داده و در واقع از ناآگاهی کاربران استفاده می‌کند. البته این بدافزار نام دیگر نیز دارد و آن Bread (نان) است. در واقع هر دوی این نام‌ها، به یک موضوع اشاره می‌کنند.

گوگل برای اولین بار در سال 2017 با این تهدید روبه‌رو شد و این موضوع همچنان ادامه دارد. هکرهایی که پشت این بدافزار قرار دارند، همیشه سعی می‌کنند که راهی را جهت دستکاری نقص‌های امنیتی فروشگاه گوگل پلی، پیدا کنند. بدین ترتیب هر بار بدافزار جوکر می‌تواند خود را ناشناس باقی نگه دارد.

توسعه‌دهندگان جوکر از چندین روش استفاده کرده تا بتوانند اپلیکیشن آلوده خود را از پروتکل‌های امنیتی فروشگاه گوگل پلی، عبور دهند. در حقیقت، حتی گاهی اوقات توسعه‌دهندگان این بدافزار یک نسخه سالم از اپلیکیشن مدنظر خود را ایجاد و سپس در فروشگاه گوگل پلی آپلود می‌کنند. در ادامه نیز با ارائه به‌روزرسانی برای اپلیکیشن نصب شده در دستگاه، این بدافزار را به گوشی شما وارد می‌کنند.

هنگامی‌که یک اپلیکیشن آلوده به این بدافزار را نصب کنید، آنگاه بدون اجازه، دستگاه شما جهت تهیه یک اشتراک پولی، ثبت‌نام می‌شود. حتی این بدافزار می‌تواند مخاطبین، پیامک‌ها و سایر اطلاعات دستگاه شما را نیز در نزد خود نگه دارد. مشکل است که بتوانید پس از گرفتار شدن به این موضوع، پول خود را بازپس گیرید. بنابراین در اینجا نیز پیشگیری بهتر از درمان است.

شیوه کار بدافزار جوکر چگونه است؟

اپلیکیشن‌هایی که به این تروجان آلوده شده‌ باشند، به‌صورت آشکارا از شما اطلاعات شخصی را درخواست نمی‌کنند. این بدافزار بسیار حرفه‌ای‌تر عمل می‌کند. بدین ترتیب حتی اگر قربانی تروجان جوکر نیز شده باشید، آنگاه سخت است که متوجه این موضوع شوید.

اولین نوع ویروس جوکر، بیشتر بر کلاهبرداری پیامکی تأکید دارد. در اینجا تروجان جوکر از طریق گوشی شما، پیامکی را به یک شماره پریمیوم فرستاده و بدین ترتیب شما را برای خرید یک اشتراک پولی ثبت‌نام و یا اینکه پرداخت‌هایی را بدون کسب اجازه از شما، انجام می‌دهد. از آنجایی که در کشورهای خارجی این سرویس‌های پولی و طرح‌های اشتراکی، با اپراتورهای مخابراتی همکاری دارند، بنابراین کاربران نیز این هزینه‌ها را در قبض تلفن همراه خود، مشاهده خواهند کرد.

در اوایل سال 2019، گوگل تصمیم گرفت که محدودیت‌های بیشتری را بر اپلیکیشن‌هایی که نیازمند دسترسی به تاریخچه تماس و یا پیامک‌ها هستند، اعمال کند. به لطف این تغییر سیاست، بسیاری از اپلیکیشن‌های آلوده به بدافزار جوکر، شناسایی شده و در ادامه نیز از فروشگاه گوگل پلی حذف شدند. همچنین پیاده‌سازی Google Play Protect نیز به ایمن ماندن دستگاه‌های اندرویدی کمک کرده است.

علی‌رغم تلاش‌های گوگل، تروجان جوکر همچنان پابرجا است. تحقیقی که توسط  Check Point صورت گرفته، نشان می‌دهد که نوع جدیدی از بدافزار جوکر به‌ وجود آمده که آن نیز بسیار فریبکارانه عمل می‌کند. این نوع جدید به‌جای استفاده از حفره‌های پیامکی، از یک ترفند قدیمی استفاده می‌کند که معمولا در بدافزارهای ویندوزی یافت می‌شود.

ویروس جوکر پس از قرارگیری بر روی دستگاه شما، یک فایل قابل اجرای DEX را از یک سرور فرمان و کنترل، دانلود می‌کند. با استفاده از این کد، به‌صورت مخفیانه، قربانی در یک اشتراک پولی ثبت‌نام می‌شود. در ادامه نیز از نمایش اعلان‌های مرتبط با اشتراک خریداری شده، جلوگیری به عمل می‌آید.

جهت انجام این کار، بدافزار جوکر از Notification Listener بهره می‌برد. Notification Listener یکی از قابلیت‌های سیستم‌عامل اندروید بوده که به اپلیکیشن‌ها این امکان را می‌دهد که به اعلان‌های دستگاه، دسترسی داشته باشند. در این بین، ویروس جوکر نیز از این ویژگی استفاده کرده و بدین ترتیب در نمایش اعلان‌ها به شما، دخالت می‌کند.

جدیدترین نسخه این بدافزار می‌تواند با استفاده از تکنیک‌های هوشمندانه‌، از سد ایمنی گوگل عبور کند. به گفته مؤسسه Check Point: “نسخه‌های جدید می‌توانند فایل مخرب DEX را تحت رشته‌‎های رمزنگاری شده Base64 در داخل اپلیکیشن موردنظر مخفی کرده و سپس به رمزگشایی و بارگذاری آن بپردازند.”

این قضیه بدین معنا است که اپلیکیشن‌هایی که در فروشگاه گوگل پلی قرار می‌‌گیرند، هیچ نشانی از این بدافزار را از خود نشان نمی‌دهند. اما پس از اینکه یکی از این اپلیکیشن‌ها توسط کاربر نصب شد، آنگاه ویروس نیز وارد عمل می‌شود.

شیوه محافظت در برابر ویروس جوکر

اخیرا گوگل 11 اپلیکیشن را که حاوی این بدافزار بوده‌اند، حذف کرده است. اگر در دستگاه اندرویدی شما، یکی از اپلیکیشن‌های زیر وجود دارد، آنگاه باید سریعا نسبت به حذف آن اقدام کنید.

  • Compress Image یا پوشه com.imagecompress.android
  • Contact Message یا پوشه com.contact.withme.texts
  • Friend SMS یا پوشه com.hmvoice.friendsms
  • Relaxation Message یا پوشه com.relax.relaxation.androidsms
  • Cheery Message ( دو بار لیست شده) یا پوشه com.cheery.message.sendsms
  • Loving Message یا پوشه com.peason.lovinglovemessage
  • File Recovery یا پوشه com.file.recovefiles
  • App Locker یا پوشه com.LPlocker.lockapps
  • Remind Alarm یا پوشه com.remindme.alram
  • Memory Game یا پوشه com.training.memorygame

اکثر اپلیکیشن‌های بالا به‌عنوان یک پیام‌رسان عمل می‌کنند، در حالی که سایرین به‌عنوان فشرده‌سازهای تصویر، یادآورها، اپلیکیشن‌های تصاویر پس‌زمینه و … عمل خواهند کرد. اگر به هرکدام از اپلیکیشن‌های خود مشکوک هستید، آنگاه بهتر است که در این زمینه به تحقیق پرداخته و پس از حصول اطمینان، آن را حذف کنید.

از آنجایی که اپلیکیشن‌های آلوده به ویروس جوکر، در ظاهر کاملا سالم به نظر می‌رسند، پس بدین ترتیب در هنگام دانلود نرم‌افزار و بازی‌ها باید احتیاط بیشتری را چاشنی کار کنید. تصویری که در بالا می‌بینید، یک نمونه از اپلیکیشن‌های آلوده به بدافزار جوکر است. همان‌طور که می‌بینید، در ظاهر هیچ مشکلی ندارد، اما در باطن … بنابراین اکنون بهتر می‌توانید متوجه خطرناک بودن این تروجان بشوید.

موضوع دیگری نیز که باید مطرح شود این است که بسیاری از اپلیکیشن‌های آلوده، توسط کاربران جعلی مورد بازبینی و بررسی قرار می‌گیرند. چنین بررسی‌هایی می‌توانند در شما اعتماد ایجاد کرده و در نتیجه شما را به دانلود ترغیب کنند.

خوشبختانه اگر بدانید که به دنبال چه چیزی هستید، آنگاه تشخیص نظرات جعلی آسان‌تر خواهد شد. اگر بررسی‌ها و نظرات تکراری را در زیر یک اپلیکیشن مشاهده کردید، آنگاه احتمال جعلی بودن آن‌ها بالا می‌رود. این موضوع برای بررسی‌های کلی نیز که در آن‌ها نامی از اپلیکیشن موردنظر برده نمی‌شود، صدق می‌کند.

علاوه بر اینکه می‌توانید اپلیکیشن‌های مخرب را پیش از دانلود شناسایی کنید، می‌توانید با نصب یک اپلیکیشن امنیتی مناسب نیز خود را تا حدودی مصون نگه دارید. شاید در وهله اول فکر کنید که نیازی به نصب آنتی‌ویروس بر روی گوشی اندرویدی خود ندارید، اما چنین اپلیکیشن‌هایی در هنگام مبارزه با ویروس و تروجان‌ها، خیلی کارآمد خواهند بود.

در نهایت اینکه باید فقط اپلیکیشن‌هایی را نصب کنید که به آن‌ها اطمینان کافی دارید. بهتر است که پیش از دانلود یک بازی و یا نرم‌افزار، در مورد آن تحقیق کرده و سپس نسبت به انجام این کار تصمیم بگیرید.

آینده تروجان جوکر

هر چند که گوگل در ژانویه 2020 توانست که 1700 اپلیکیشن آلوده به این بدافزار را شناسایی و همچنین 11 مورد ذکر شده در بالا را نیز حذف کند، اما در هر صورت این موضوع به‌معنای امنیت کامل شما نیست. این بدافزار هنوز مشغول فعالیت بوده و ظاهرا نیز به این زودی‌ها از میان ما نخواهد رفت. این بدافزار همچنان به سازگاری با پروتکل‌های امنیتی فروشگاه گوگل پلی ادامه داده و این موضوع نیز بدین معنا است که روند تکامل آن، همچنان ادامه دارد.

آیا این قضیه به‌معنای آلوده بودن برخی از اپلیکیشن‌های فروشگاه گوگل پلی به این تروجان است؟ شوربختانه، بله، برخی از اپلیکیشن‌های آلوده همچنان می‌توانند که از پروتکل‌های امنیتی گوگل عبور کنند. بنابراین بهتر است که در هنگام دانلود بازی و یا نرم‌افزارها، احتیاط بیشتری به خرج دهید.

نوشته بدافزار جوکر چیست و چه تأثیری بر دستگاه‌های اندرویدی دارد؟ اولین بار در اخبار فناوری و موبایل پدیدار شد.

مراقب باشید؛ بدافزار xHelper حتی بعد از پاک شدن از روی گوشی اندرویدی دوباره نصب می‌شود!

/در , , , , /توسط

آیا تابه‌حال با بدترین بدافزاری که فکرش را می‌کنید، مواجه شده‌اید؟ بهتر است که مراقب باشید چراکه حالا یکی از آنها در کمین شما است. وب‌سایت ZDNet اخیرا درباره مشکلات ایجادشده توسط بدافزاری گزارش داده که توانایی نصب دوباره خود را دارد و همین موضوع، امکان خلاصی از آن را برای کاربران اندرویدی غیرممکن ساخته است. این بدافزار که xHelper نام دارد، اولین بار در ماه مارس امسال کشف شد و پنج ماه بعد، تعداد ۳۲۰۰ گوشی را آلوده کرده بود. حالا این عدد به ۴۵۰۰۰ دستگاه رسیده است. به گفته گروه نرم‌افزاری Symantec، هر روز حدود ۱۳۱ هندست جدید به این بدافزار آلوده شده که تقریبا می‌شود ۲۴۰۰ دستگاه در ماه!

بدافزار مذکور، تبلیغات پاپ‌آپ و نوتیفیکیشن‌های اسپمی را به نمایش می‌گذارد که احتمالا برای آنهایی که پشت این ماجرا هستند، بسیار سودآور است. xHelper همچنین گوشی‌های آلوده را به گوگل پلی استور هدایت می‌کند و در آنجا به کاربران گفته می‌شود که وب‌سایت‌های پریمیومی را نصب کنند که از قضا همین وب‌سایت‌ها به خرابکاران اینترنتی بابت ماموریت‌هایشان پول پرداخت می‌کنند. این بدافزار می‌تواند با استفاده از ر‌یدایرکت‌هایی که کاربر را به یک وب‌سایت اپلیکیشن‌های اندرویدی هدایت می‌کند، بر روی گوشی اندرویدی بارگیری گردد. تعدادی از این اپلیکیشن‌هایی که کاربران بر روی هندست‌های اندرویدی‌شان نصب می‌کنند شامل تروجان xHelper هستند.

به‌محض اینکه یکی از اپلیکیشن‌های آلوده نصب می‌شود، xHelper نیز به‌عنوان یک دانلود جداگانه نصب گردیده و اپلیکیشن اصلی خود را که به آن اتچ شده پاک می‌کند. از آنجاییکه این بدافزار حتی بعد از ریست فکتوری گوشی هم دوباره نصب خواهد شد، می‌توانیم بگوییم که کاربران اندرویدی هرگز از آن خلاصی نخواهند داشت. این موضوع همچنان برای گروه توسعه‌دهندگان نرم‌افزار Symantec و Malwarebytes مرموز باقی مانده است. هر دوی آنها می‌گویند که xHelper، با سیستم عامل اندروید یا اپلیکیشن‌های سیستمی تداخل پیدا نمی‌کند. تعدادی از قربانیان گزارش داده‌اند که حتی بعد از پاک کردن xHelper و غیرفعال نمودن گزینه Install apps from unknown sources نیز بدافزار دوباره بر روی گوشی آنها ظاهر شده است.

در حالیکه گفته می‌شود تعدادی از نسخه‌های پولی نرم‌افزارهای ضدویروس موبایلی، قادر به مقابله با آن هستند، اما به نظر می‌رسد که رقابتی سخت بین سازندگان این تروجان و توسعه‌دهندگان نرم‌افزارهای ضدویروس در گرفته باشد. بخش ترسناک xHelper این است که امکان دارد این بدافزار کارهای دیگری را نیز به‌طور مخفیانه انجام بدهد. سازندگان آن می‌توانند تروجان را طوری برنامه‌ریزی کنند تا یک بدافزار دیگر را نیز برای دزدیدن اطلاعات بانکی، پسوردها و سایر اطلاعات شخصی افراد بر روی دستگاه بارگیری کند.

توصیه ما به شما این است که، از آنجاییکه امکان دارد xHelper خود را به هر اپلیکیشنی که نصب می‌کنید اتچ کرده باشد، بنابراین بهتر است که فقط اپلیکیشن‌های توسعه‌دهندگانی را بر روی دستگاه خود بارگیری کنید که آنها را می‌شناسید و اعتماد کاملی به آنها دارید.

نوشته مراقب باشید؛ بدافزار xHelper حتی بعد از پاک شدن از روی گوشی اندرویدی دوباره نصب می‌شود! اولین بار در اخبار تکنولوژی و فناوری پدیدار شد.

مراقب باشید؛ بدافزار xHelper حتی بعد از پاک شدن از روی گوشی اندرویدی دوباره نصب می‌شود!

/در , , , , /توسط

آیا تابه‌حال با بدترین بدافزاری که فکرش را می‌کنید، مواجه شده‌اید؟ بهتر است که مراقب باشید چراکه حالا یکی از آنها در کمین شما است. وب‌سایت ZDNet اخیرا درباره مشکلات ایجادشده توسط بدافزاری گزارش داده که توانایی نصب دوباره خود را دارد و همین موضوع، امکان خلاصی از آن را برای کاربران اندرویدی غیرممکن ساخته است. این بدافزار که xHelper نام دارد، اولین بار در ماه مارس امسال کشف شد و پنج ماه بعد، تعداد ۳۲۰۰ گوشی را آلوده کرده بود. حالا این عدد به ۴۵۰۰۰ دستگاه رسیده است. به گفته گروه نرم‌افزاری Symantec، هر روز حدود ۱۳۱ هندست جدید به این بدافزار آلوده شده که تقریبا می‌شود ۲۴۰۰ دستگاه در ماه!

بدافزار مذکور، تبلیغات پاپ‌آپ و نوتیفیکیشن‌های اسپمی را به نمایش می‌گذارد که احتمالا برای آنهایی که پشت این ماجرا هستند، بسیار سودآور است. xHelper همچنین گوشی‌های آلوده را به گوگل پلی استور هدایت می‌کند و در آنجا به کاربران گفته می‌شود که وب‌سایت‌های پریمیومی را نصب کنند که از قضا همین وب‌سایت‌ها به خرابکاران اینترنتی بابت ماموریت‌هایشان پول پرداخت می‌کنند. این بدافزار می‌تواند با استفاده از ر‌یدایرکت‌هایی که کاربر را به یک وب‌سایت اپلیکیشن‌های اندرویدی هدایت می‌کند، بر روی گوشی اندرویدی بارگیری گردد. تعدادی از این اپلیکیشن‌هایی که کاربران بر روی هندست‌های اندرویدی‌شان نصب می‌کنند شامل تروجان xHelper هستند.

به‌محض اینکه یکی از اپلیکیشن‌های آلوده نصب می‌شود، xHelper نیز به‌عنوان یک دانلود جداگانه نصب گردیده و اپلیکیشن اصلی خود را که به آن اتچ شده پاک می‌کند. از آنجاییکه این بدافزار حتی بعد از ریست فکتوری گوشی هم دوباره نصب خواهد شد، می‌توانیم بگوییم که کاربران اندرویدی هرگز از آن خلاصی نخواهند داشت. این موضوع همچنان برای گروه توسعه‌دهندگان نرم‌افزار Symantec و Malwarebytes مرموز باقی مانده است. هر دوی آنها می‌گویند که xHelper، با سیستم عامل اندروید یا اپلیکیشن‌های سیستمی تداخل پیدا نمی‌کند. تعدادی از قربانیان گزارش داده‌اند که حتی بعد از پاک کردن xHelper و غیرفعال نمودن گزینه Install apps from unknown sources نیز بدافزار دوباره بر روی گوشی آنها ظاهر شده است.

در حالیکه گفته می‌شود تعدادی از نسخه‌های پولی نرم‌افزارهای ضدویروس موبایلی، قادر به مقابله با آن هستند، اما به نظر می‌رسد که رقابتی سخت بین سازندگان این تروجان و توسعه‌دهندگان نرم‌افزارهای ضدویروس در گرفته باشد. بخش ترسناک xHelper این است که امکان دارد این بدافزار کارهای دیگری را نیز به‌طور مخفیانه انجام بدهد. سازندگان آن می‌توانند تروجان را طوری برنامه‌ریزی کنند تا یک بدافزار دیگر را نیز برای دزدیدن اطلاعات بانکی، پسوردها و سایر اطلاعات شخصی افراد بر روی دستگاه بارگیری کند.

توصیه ما به شما این است که، از آنجاییکه امکان دارد xHelper خود را به هر اپلیکیشنی که نصب می‌کنید اتچ کرده باشد، بنابراین بهتر است که فقط اپلیکیشن‌های توسعه‌دهندگانی را بر روی دستگاه خود بارگیری کنید که آنها را می‌شناسید و اعتماد کاملی به آنها دارید.

نوشته مراقب باشید؛ بدافزار xHelper حتی بعد از پاک شدن از روی گوشی اندرویدی دوباره نصب می‌شود! اولین بار در اخبار تکنولوژی و فناوری پدیدار شد.

بدافزار InnfiRAT اطلاعات کیف‌پول ارز دیجیتالی شما می‌دزدد!

/در , , , , , /توسط
بدافزار InnfiRAT

محققان یک تروجان جدید را کار آن دزدیدن داده‌های مرتبط با ارز دیجیتالی است، کشف کرده‌اند. این تروجان که InnfiRAT نام دارد بدافزاری است که بسیاری از کارکردهای تروجان استاندارد را دارد، اما به‌طور ویژه بر روی سیستم‌های آلوده کمین می‌کند تا گواهینامه‌های کیف‌پول ارز دیجیتال را به سرقت ببرد.

یکی از شرکت‌های ارز دیجیتال به نام zScaler در وب‌سایت خود گفته است که InnfiRAT در NET. نوشته شده است و بسیار احتمال دارد که از طریق ایمیل‌های فیشینگ که شامل پیوست‌ها یا لینک‌های دانلود مخرب هستند، انتشار داده بشود.

این بدافزار به محض ورود به سیستم آسیب‌پذیر، یک کپی از خودش را می‌سازد و آن را در دایرکتوری AppData مخفی می‌کند. سپس با نوشتن یک فایل اجرایی رمزگشایی‌شده Base64 در حافظه، کارکردهای اصلی یک تروجان را اجرا می‌کند.

بدافزار InnfiRAT

InnfiRAT ابتدا نشان‌گرهای موجود در یک محیط سندباکس را بررسی خواهد کرد. سندباکس، ست‌آپ رایجی است که توسط محققین ارز دیجیتال برای مهندسی معکوس بدافزارها مورد استفاده قرار می‌گیرد. اگر این نشان‌گرها پیدا بشوند، بدافزار به کار جستجو پایان خواهد داد، در غیر این صورت دوباره اجرا خواهد شد.

بدافزار مذکور، داده‌های سیستمی دستگاه شامل نام کشوری که در آن قرار دارد، نوع پردازنده و همچنین نام، سازنده و اندازه کش پی‌سی را بر‌می‌دارد. سپس با سرور فرماندهی و کنترل خود ارتباط برقرار خواهد کرد و اطلاعات دزدیده شده را به آن ارسال کرده و منتظر دستورالعمل‌های بعدی خواهد ماند.

در میان این دستورالعمل‌ها، یک دستور مربوط به تهیه لیستی از همه پردازش‌های در حال اجرا بر روی سیستم آلوده می‌شود؛ پردازش‌هایی که شامل رشته‌های “chrome” ،”browser” ،”firefox” و “opera” هستند. بدافزار همه پردازش‌هایی را که با این رشته‌ها ارتباط داشته باشند، متوقف خواهد کرد.

علاوه بر این، InnfiRAT می‌تواند بدافزارهای اضافه‌تری را پیاده‌سازی کند، فایل‌ها را بدزدد و کوکی‌های مرورگر را برای دسترسی به اسم کاربری و پسورد‌ گواهینامه‌ها به سرقت ببرد. این تروجان همچنین می‌تواند از نشست‌های باز (open sessions) اسکرین‌شات بگیرد و پردازش‌های آنتی‌ویروس‌ دستگاه را قطع کند.

بدافزار InnfiRAT به منظور جستجوی ارزهای دیجیتال، اطلاعات مرتبط با آنها شامل کیف‌پول‌های بیت‌کوین و لایت‌کوین را با چک کردن مسیرهای %AppData%\Litecoin\wallet.dat و %AppData%\Bitcoin\wallet.dat، اسکن خواهد کرد. بدافزار در صورت وجود این اطلاعات، همه آنها را استخراج می‌کند تا به کمک آنها از کیف‌پول‌های مذکور سرقت کند.

ارز دیجیتال، همچنان یک کانال پرسود برای مجرمان سایبری است تا از این طریق به پول‌های نامشروع زیادی دست یابند و InnfiRAT هم تنها یکی از بدافزارهای بسیاری است که این‌روزها از ماژول‌های سرقت ارز دیجیتال بهره می‌برند.

یکی دیگر از این بدافزارها، PsiXBot است که اخیرا با به‌روزرسانی خود، DNS گوگل در سرویس HTTPS را نیز شامل شده و به‌محض راه‌یافتن به دستگاه هدف، کلیپ‌بوردهای آن را برای پیدا کردن گواهینامه‌های کیف‌پولی که در خرید بیت‌کوین، اتریوم، مونرو و ریپل، مورد استفاده قرار می‌گیرند، چک می‌کند. مورد جالب دیگری از این نوع بدافزارها، Bird Miner است که هنگام اجرای XMRig، از روش کار لینوکس بر روی دستگاه‌های مک‌بوک تقلید می‌کند. این بدافزار، کنترل قدرت سی‌پی‌یو دستگاه قربانی را به دست می‌گیرد تا به‌طور مخفیانه ارز مونرو را استخراج کند و سود آن را به کیف‌پول‌هایی که توسط اپراتورهای خودش کنترل می‌شود، بفرستد.

نوشته بدافزار InnfiRAT اطلاعات کیف‌پول ارز دیجیتالی شما می‌دزدد! اولین بار در اخبار تکنولوژی و فناوری پدیدار شد.

کارهای بانکی ایرانی‌ها در محاصره یک بدافزار مخرب!

/در , , , , , , , /توسط
internet-bank-1 کارهای بانکی ایرانی‌ها در محاصره یک بدافزار مخرب!

امروزه استفاده از موبایل برای انجام کارهای بانکی یکی از طبیعی‌ترین کارهایی است که قطعا بسیاری از شما نیز به این امر رو آورده‌اید ولی به تازگی مرکز ملی ماهر اعلام کرده است که یک بدافزار مخرب وارد شبکه موبایلی کشور شده است که کارهای بانکی افراد را مورد هدف قرار می‌دهد.

به گزارش آی‌تی‌رسان، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای در بیانیه‌ای اعلام کرد: به تازگی بدافزاری در بین کاربران در حال شیوع است که سواستفاده کنندگان می‌توانند با استفاده از آن، لیست مخاطبان قربانی را دریافت کرده و برای آنها پیامک‌های دلخواه‌شان را ارسال کنند.

MysteryBot کارهای بانکی ایرانی‌ها در محاصره یک بدافزار مخرب!

طبق اعلام این مرکز، بدافزار مذکور در حال رشد بوده و از پشتیبانی بسیار قوی برخوردار بوده و معمولا از طریق دسترسی‌های ناشناسی که کاربران به نرم افزارها و موارد مختلف می‌دهند، وارد دستگاه کاربر می‌شود. به نظر می‌رسد تنها راه مقابله با Mysterybot این است که کاربران علاوه بر استفاده از نرم افزارهای امنیت محافظ، از ارایه دسترسی به نرم افزارها و افزونه‌های گوناگون پرهیز نمایند.

متن کامل و توضیحات مفصل از گزارش مربوط به این بدافزار را می‌توانید در سایت رسمی ماهر مشاهده نمایید.

نوشته کارهای بانکی ایرانی‌ها در محاصره یک بدافزار مخرب! اولین بار در وب‌سایت فناوری پدیدار شد.

Smoke Loader، هوشمند ترین بد افزار سال ۲۰۱۸

/در , , , , , , , , , /توسط
بد افزار

Smoke Loader نام بد افزار قدرتمند جدیدی است که بهترین راه نفوذ به سیستم شما را انتخاب می ‌کند و به تمامی اطلاعات محرمانه شما دسترسی دارد.

Smoke Loader  قادر است بد افزار هایی از جمله تروجان ها، باج افزار ها و cryptocurrency mining software را در سیستم شما پخش کند و شما را به دردسر بیاندازد. شیوه عملکرد این بد افزار در میان نمونه‌ های قبلی کم‌ تر دیده شده است.

این بد افزار که با نام Smoke Loader شناخته می ‌شود از سال ۲۰۱۱ تاکنون فعال بوده و به تدریج پیشرفت کرده است. Smoke Loader در سال ۲۰۱۸ از همیشه معروف‌ تر بوده و از طریق آپدیت های نرم‌ افزاری تقلبی سیستم شما را آلوده می‌کند.

مانند سایر بدافزار ها Smoke Loader نیز حمله اولیه خود را با یک فایل آلوده Microsoft Word آغاز می ‌کند و کاربر بدون اطلاع قبلی با صدور اجازه دسترسی به سیستم، این امتیاز را به Smoke Loader می ‌دهد که یک تروجان را به سیستم تزریق کرده و سایر برنامه‌ های آلوده را از همین دریچه به کامپیوتر کاربر وارد کند.

محققان سیسکو (Cisco) مدتی است فعالیت این بد افزار را زیر نظر گرفته‌ اند و از آخرین فعالیت‌ های آن مطلع شده‌ اند. یکی از جدید ترین شیوه های نفوذ Smoke Loader استفاده از تروجان TrickBot است؛ یک تروجان بانکی که اطلاعات شخصی و خصوصی کاربران از جمله پسوورد ها، اطلاعات کارت‌ های بانکی و سایر اطلاعات حساس را به دست می‌آورد. ایمیل‌ های فیشینگ یکی دیگر از راه‌ های انتشار این بد افزار هستند؛ ایمیل‌ هایی که به نظر از یک شرکت نرم‌ افزاری معتبر برای کاربر فرستاده می ‌شوند و یکی از بهترین راه‌ های ورود به سیستم او هستند.

نکته جالب توجه برای محققان در رابطه با Smoke Loader راه نفوذ جدیدی است که تا کنون هیچ بد افزار دیگری از آن استفاده نکرده؛ یک روش تزریق کد به نام PROPagate که سال گذشته به عنوان یک روش واسطه مطرح شده بود.

این تکنیک از فانکشن SetWindowsSubclass استفاده می‌ کند؛ فانکشنی که برای بروزرسانی Subclass ویندوز استفاده می‌ گردد و این کار را بدون قطع اتصال فعلی به انجام می ‌رساند که بهترین راه ورود بد افزار هست. به این ترتیب بدافزار مورد بحث از این دریچه باز شده برای تزریق کد و سپس انتقال فایل‌ها استفاده می‌ کند؛ یک حمله بهینه و کاملا نامرئی.

به نظر می ‌رسد که هکرها تمامی پست‌ های مربوط به PROPagate را مطالعه کرده و از آن در راستای کارهای خراب ‌کارانه خود استفاده کرده‌ اند.

‌افرادی که پشت این داستان هستند از تکنیک‌ های پیشگیری آنالیز برای پوشاندن رد پای خود نیز استفاده کرده ‌اند؛ Runtime AV Scanners، Tracing و debugging تکنیک‌ هایی هستند که هر محققی برای بررسی رفتار بد افزار ممکن است از آن ‌ها استفاده کند.

با این ‌که بسیاری از حملات Smoke Loader وظیفه رساندن بد افزار های جانبی دیگر به کامپیوتر مورد نظر را بر عهده می ‌گیرند، در برخی موارد این بد افزار Plug-In های خود را حمل کرده و با استفاده از آن‌ ها کارهای خراب ‌کارانه خود را به انجام می ‌رساند.

هر یک از این پلاگ-این ‌ها برای دزدیدن اطلاعات محرمانه خاصی طراحی شده ‌اند. تمامی مرورگر هایی که اطلاعات کاربر را در خود ذخیره می ‌کنند می ‌توانند هدف حملات Smoke Loader قرار بگیرند؛ مرورگر هایی از جمله IE، Chrome، Opera و حتی برنامه‌ های مدیریت ایمیل مثل Outlook و Thunderbird نیز می‌ توانند مرود سوء استفاده این بدافزار باشند.

جالب است بدانید برنامه خراب ‌کار Smoke Loader می‌ تواند از نرم‌افزاری چون TeamViewer هم برای نفوذ امنیتی استفاده کند؛ به طوری که از کامپیوتر کنترل کننده نیز می ‌تواند کامپیوتر مقابل را آلوده کند.

به نظر می‌رسد که سازندگان این بد افزار از تبلیغ ‌هایی که در بخش تاریک وب پخش کرده‌ اند به محبوبیت زیادی نرسیده ‌اند و با این خراب‌ کاری‌ها در مقیاس بزرگ می ‌خواهند برنامه ‌شان را به دنیا معرفی کنند. شاید هم با این کار قصد دارند از botnet برای منافع شخصی خود بهره‌ بگیرند.

در هر صورت شرکت‌های IT باید در مقابل این تهدید ها راه چاره‌ ای پیدا کنند.

محققان سیسکو در این رابطه می ‌گویند:

«بر اساس مشاهدات ما مارکت botnet و تروجان‌ روز به ‌روز در حال تغییر است، نقش اول‌ های این بازی به طور پیوسته کیفیت و تکنیک خود را به ‌روز رسانی می ‌کنند. این افراد بر اساس یک برنامه منظم در حال پیشرفت و برتری خود در مسیر دور زدن ابزار های امنیتی ما هستند. کاملا روشن است که در تقابل، ما نیز باید سیستم ‌های خود را ب ه‌روز نگاه داریم.

توصیه جدی ما به کاربران و شرکت‌ ها این است که از پروسه‌ های امنیتی تعریف شده پیروی کنند؛ مثل نصب پیوسته پچ‌ های امنیتی جدید، توجه بیشتر به هنگام دریافت پیغام از شرکت‌ های سوم شخص و حصول اطمینان از یک نسخه پشتیبان آفلاین. این تمرین‌ ها تهدیدهای امنیتی خارجی را کاهش داده و در صورت خراب‌ کاری بدا فزار ها امکان جبران‌ و ریکاوری اطلاعات از دست رفته را به کاربر می ‌دهند».

نوشته Smoke Loader، هوشمند ترین بد افزار سال ۲۰۱۸ اولین بار در گويا آی‌ تی پدیدار شد.

Smoke Loader، هوشمند ترین بد افزار سال ۲۰۱۸

/در , , , , , , , , , /توسط
بد افزار

Smoke Loader نام بد افزار قدرتمند جدیدی است که بهترین راه نفوذ به سیستم شما را انتخاب می ‌کند و به تمامی اطلاعات محرمانه شما دسترسی دارد.

Smoke Loader  قادر است بد افزار هایی از جمله تروجان ها، باج افزار ها و cryptocurrency mining software را در سیستم شما پخش کند و شما را به دردسر بیاندازد. شیوه عملکرد این بد افزار در میان نمونه‌ های قبلی کم‌ تر دیده شده است.

این بد افزار که با نام Smoke Loader شناخته می ‌شود از سال ۲۰۱۱ تاکنون فعال بوده و به تدریج پیشرفت کرده است. Smoke Loader در سال ۲۰۱۸ از همیشه معروف‌ تر بوده و از طریق آپدیت های نرم‌ افزاری تقلبی سیستم شما را آلوده می‌کند.

مانند سایر بدافزار ها Smoke Loader نیز حمله اولیه خود را با یک فایل آلوده Microsoft Word آغاز می ‌کند و کاربر بدون اطلاع قبلی با صدور اجازه دسترسی به سیستم، این امتیاز را به Smoke Loader می ‌دهد که یک تروجان را به سیستم تزریق کرده و سایر برنامه‌ های آلوده را از همین دریچه به کامپیوتر کاربر وارد کند.

محققان سیسکو (Cisco) مدتی است فعالیت این بد افزار را زیر نظر گرفته‌ اند و از آخرین فعالیت‌ های آن مطلع شده‌ اند. یکی از جدید ترین شیوه های نفوذ Smoke Loader استفاده از تروجان TrickBot است؛ یک تروجان بانکی که اطلاعات شخصی و خصوصی کاربران از جمله پسوورد ها، اطلاعات کارت‌ های بانکی و سایر اطلاعات حساس را به دست می‌آورد. ایمیل‌ های فیشینگ یکی دیگر از راه‌ های انتشار این بد افزار هستند؛ ایمیل‌ هایی که به نظر از یک شرکت نرم‌ افزاری معتبر برای کاربر فرستاده می ‌شوند و یکی از بهترین راه‌ های ورود به سیستم او هستند.

نکته جالب توجه برای محققان در رابطه با Smoke Loader راه نفوذ جدیدی است که تا کنون هیچ بد افزار دیگری از آن استفاده نکرده؛ یک روش تزریق کد به نام PROPagate که سال گذشته به عنوان یک روش واسطه مطرح شده بود.

این تکنیک از فانکشن SetWindowsSubclass استفاده می‌ کند؛ فانکشنی که برای بروزرسانی Subclass ویندوز استفاده می‌ گردد و این کار را بدون قطع اتصال فعلی به انجام می ‌رساند که بهترین راه ورود بد افزار هست. به این ترتیب بدافزار مورد بحث از این دریچه باز شده برای تزریق کد و سپس انتقال فایل‌ها استفاده می‌ کند؛ یک حمله بهینه و کاملا نامرئی.

به نظر می ‌رسد که هکرها تمامی پست‌ های مربوط به PROPagate را مطالعه کرده و از آن در راستای کارهای خراب ‌کارانه خود استفاده کرده‌ اند.

‌افرادی که پشت این داستان هستند از تکنیک‌ های پیشگیری آنالیز برای پوشاندن رد پای خود نیز استفاده کرده ‌اند؛ Runtime AV Scanners، Tracing و debugging تکنیک‌ هایی هستند که هر محققی برای بررسی رفتار بد افزار ممکن است از آن ‌ها استفاده کند.

با این ‌که بسیاری از حملات Smoke Loader وظیفه رساندن بد افزار های جانبی دیگر به کامپیوتر مورد نظر را بر عهده می ‌گیرند، در برخی موارد این بد افزار Plug-In های خود را حمل کرده و با استفاده از آن‌ ها کارهای خراب ‌کارانه خود را به انجام می ‌رساند.

هر یک از این پلاگ-این ‌ها برای دزدیدن اطلاعات محرمانه خاصی طراحی شده ‌اند. تمامی مرورگر هایی که اطلاعات کاربر را در خود ذخیره می ‌کنند می ‌توانند هدف حملات Smoke Loader قرار بگیرند؛ مرورگر هایی از جمله IE، Chrome، Opera و حتی برنامه‌ های مدیریت ایمیل مثل Outlook و Thunderbird نیز می‌ توانند مرود سوء استفاده این بدافزار باشند.

جالب است بدانید برنامه خراب ‌کار Smoke Loader می‌ تواند از نرم‌افزاری چون TeamViewer هم برای نفوذ امنیتی استفاده کند؛ به طوری که از کامپیوتر کنترل کننده نیز می ‌تواند کامپیوتر مقابل را آلوده کند.

به نظر می‌رسد که سازندگان این بد افزار از تبلیغ ‌هایی که در بخش تاریک وب پخش کرده‌ اند به محبوبیت زیادی نرسیده ‌اند و با این خراب‌ کاری‌ها در مقیاس بزرگ می ‌خواهند برنامه ‌شان را به دنیا معرفی کنند. شاید هم با این کار قصد دارند از botnet برای منافع شخصی خود بهره‌ بگیرند.

در هر صورت شرکت‌های IT باید در مقابل این تهدید ها راه چاره‌ ای پیدا کنند.

محققان سیسکو در این رابطه می ‌گویند:

«بر اساس مشاهدات ما مارکت botnet و تروجان‌ روز به ‌روز در حال تغییر است، نقش اول‌ های این بازی به طور پیوسته کیفیت و تکنیک خود را به ‌روز رسانی می ‌کنند. این افراد بر اساس یک برنامه منظم در حال پیشرفت و برتری خود در مسیر دور زدن ابزار های امنیتی ما هستند. کاملا روشن است که در تقابل، ما نیز باید سیستم ‌های خود را ب ه‌روز نگاه داریم.

توصیه جدی ما به کاربران و شرکت‌ ها این است که از پروسه‌ های امنیتی تعریف شده پیروی کنند؛ مثل نصب پیوسته پچ‌ های امنیتی جدید، توجه بیشتر به هنگام دریافت پیغام از شرکت‌ های سوم شخص و حصول اطمینان از یک نسخه پشتیبان آفلاین. این تمرین‌ ها تهدیدهای امنیتی خارجی را کاهش داده و در صورت خراب‌ کاری بدا فزار ها امکان جبران‌ و ریکاوری اطلاعات از دست رفته را به کاربر می ‌دهند».

نوشته Smoke Loader، هوشمند ترین بد افزار سال ۲۰۱۸ اولین بار در گويا آی‌ تی پدیدار شد.

مایکروسافت: ویندوز دیفندر در هفته گذشته از نیم میلیون سیستم در برابر نوعی بدافزار محافظت کرده است

/در , , , , /توسط

به گفته مایکروسافت، نرم‌افزار داخلی ضد‌ویروس ویندوز ۱۰ یا همان Windows Defender، در هفته گذشته تقریبا از بیش از ۵۰۰ هزار کامپیوتر در مقابل حملات یک بدافزار مخرب محافظت کرده است.

درست تا قبل از ظهر روز شش مارس، سیستم دفاعی ویندوز، بیش از ۸۰ هزار حمله مشکوک که به وسیله انواع جدیدی از تروجان‌ها صورت گرفته بود را دفع کرد. تاکنون چنین حمله عجیبی رخ نداده بود، به طوری که حتی مشابه آن در پایگاه داده‌ای مایکروسافت نیز وجود نداشت، اما براساس شناسایی صورت گرفته از نوع عملکرد‌شان، آنها با الگوی‌های رفتاری بدافزار‌ها، مشابهت زیادی داشتند. در عرض ۱۲ ساعت بعدی نیز سیستم دفاعی ویندوز، اقدام به خنثی کردن بیش از ۴۰۰ هزار حمله دیگر نمود.

این تروجان نوع جدیدی از انواع Dofoil بوده که به اسم تروجان Smoke Loader نیز شناخته می‌شود. این نوع بدافزار، اقدام به نصب نرم‌افزار‌های ناخواسته بر روی دستگاه کاربر قربانی می‌نماید. تروجان Dofoil از سال ۲۰۱۱ تاکنون انواع مختلفی از تهدیدات را متوجه سیستم‌ها و کاربران گوناگون کرده است، اما همواره به دفعات خود را تغییر داده تا از کمند برنامه‌های ضدویروسی مخفی بماند. جالب اینجاست که این دفعه، به عنوان یک برنامه ماینیگ ارز‌های رمزی، اقدام به در اختیار گرفتن و استفاده غیر‌مجاز از سخت‌افزار میزبان کرده است.

اما تروجان Dofoil چگونه منتشر شده است؟

طبق اطلاعاتی که شرکت امنیت کامپیوتری مک‌آفی (McAfee) منتشر کرده است، این تروجان در ایمیل‌ها به عنوان فایل‌های ضمیمه و همچنین در فایل‌های مایکروسافت آفیس ورد به عنوان ماکرو، خود را به داخل سیستم قربانی می‌رسانده است. همچنین در ماه ژانویه، از مسیر دیگری این نفوذ صورت گرفته بود. به این طریق که مهاجمان، کاربرانی که در آلمان به دنبال دریافت پچ امنیتی برای باگ‌های Spectre و Meltdown بودند را هدف قرار داده و با ایجاد یک صفحه با اطلاعات جعلی به عنوان اداره امنیت فدرال آلمان، اقدام به میزبانی از قربانیان و پخش این تروجان کرده بودند. در این سایت لینک دانلودی قرار داده شده بود به عنوان آخرین پچ امنیتی ویندوز، اما به جای آن نسخه‌ای از نوعی تروجان Dofoil در سیستم قربانی نصب می‌شد.

نحوه پیشگیری و مقابله با خطر احتمالی

استفاده از نرم‌افزار آنتی ویروس به‌روز و معتبر، سپس بهره‌گیری از افزونه‌های مرورگر برای جلوگیری از بالا آمدن و بلاک هرگونه سایت دارای نرم‌افزار ماینینگ ارز‌های رمزی و از همه مهم‌تر، بهترین راه محافظت از سیستم و اطلاعات خودتان، احتیاط و دقت است. یعنی از بازکردن فایل‌های ضمیمه هرگونه ایمیل ناشناس و ناخواسته خودداری کنید و همچنین قبل از کلیک بر روی هر لینکی ابتدا به بررسی و کنترل آدرس URL اقدام نمایید.

دقت داشته باشید حمله در چنین مقیاس عظیمی بسیار غیرمعمول و نگران کننده است و سیستم دفاعی ویندوز تنها نرم‌افزار ضدویروس برای تجزیه و تحلیل رفتار فایل‌ها و حفاظت از دستگاه شما نیست و فقط به عنوان اولین سد دفاعی شناخته می‌شود (Zero-Hour Protection). پس لازم است شما به دنبال بهترین نرم‌افزار‌های ضدویروس باشید تا فضایی امن را برای سیستم خود ایجاد نمایید.

مطالعه بیشتر : چگونه از آنتی ویروس Windows Defender ویندوز ۱۰ استفاده کنیم؟

نوشته مایکروسافت: ویندوز دیفندر در هفته گذشته از نیم میلیون سیستم در برابر نوعی بدافزار محافظت کرده است اولین بار در پدیدار شد.

۳۰۰ هزار گجت اندرویدی از طریق کروم هک شدند!

/در , , , , , /توسط
۳۰۰ هزار گجت اندرویدی از طریق کروم هک شدند!

بیش از ۳۰۰ هزار گجت اندرویدی از ماه آگوست تاکنون از طریق مرورگر کروم آلوده شده‌اند. اما این حمله از چه طریقی انجام می‌شود؟

شاید شما هم با بسیاری از بدافزارها مواجه شده باشید. یک تبلیغ به صورت پاپ‌آپ ظاهر شده و به شما هشدار می‌دهد که ویروسی در گوشی شما وجود دارد. اما در حقیقت ویروسی وجود ندارد و این تله، تابحال ۳۱۸ هزار نفر را آلوده کرده است. برخی افراد در این تله گیر افتاده‌اند و روی آن کلیک کرده‌اند. حمله‌کننده از کاربر می‌خواهد که اجازه دانلود APK‌ها را بدهد. زمانی که APK مورد نظر دانلود شد، بدافزار اطلاعات را می‌دزدد.

این بدافزار یک تروجان بانکی با نام Svpeng بوده که از طریق AdSense گوگل انتشار می‌یابد. این تروجان تنها به روسیه محدود بوده و شرکت روسی کسپرسکی آن را پیدا کرده است. گوگل نیز البته به سرعت تبلیغاتی را که به این تروجان آلوده بودند، حذف کرد.

نوشته ۳۰۰ هزار گجت اندرویدی از طریق کروم هک شدند! اولین بار در پدیدار شد.

هشدار امنیتی: تروجان SpyNote برای اندروید کشف شد

/در , , , , /توسط

همه تا کنون بر این باور بوده اند که سیستم عامل اندروید به دلایل مختلف یک سیستم کاملا امنیتی است که راه را بر عبور هر نوع بد افزار می بندد البته این گفته تا حدودی در گذشته محقق شده اما خبرهای جدید هاکی از این است که کاربران اندروید نیز نباید چنان که باید به این موضوع خوش بین باشند چرا که یک تروجان اندرویدی به نام SpyNote در حال توسعه است و بدون هیچ هزینه ای در اختیار هکر ها قرار گرفته است. این تروجان قادر است بدون نیاز به روت کردن گوشی، سیستم های کاربران را مورد هدف قرار بدهد و اطلاعات آن ها را واکاوی کرده و سرقت کند. این اطلاعات شامل تمام داده های گوشی تلفن و یا تبلت اندرویدی کاربر می شود.

SpyNote

عناصر امنیتی هنوز نتوانسته اند مجرای توسعه و انتشار این تروجان را کشف کنند اما برخی از خبرها گویای این است که برخی کاربران متاسفانه قربانی این تروجان شده اند. از آن جا که بسیاری از کاربران، مجوز نصب اپلیکیشن از منابع نا آگاه را در گوشی خود فعال می کنند موجب ضربه دیدن از این بد افزارها می شوند اما برخی بد افزار ها حتی از سد گوگل پلی نیز می گذرند و نمی توان رسما جلوی آن ها را گرفت.

این نرم افزار قابلیت این را دارد که خود به خود به نسخه های پیشرفته ترش بروز رسانی شود و حتی می تواند سایر نرم افزار ها را هم به روز رسانی کند.

توصیه های امنیتی بر این استوار است که سعی کنید از نسخه های جدید اندرویدی و ورژن های جدید این سیستم عامل استفاده کنید چرا که این سیستم ها دارای امکاناتی نظیر Verify Apps و SafetyNet می باشند که می توانند کنترل خوبی روی اپلیکیشن ها داشته باشند و نرم افزارهای آلوده و مخرب را تشخیص و نسبت به ان ها اقدامات لازم را انجام دهند.