‫ ۱۰ بدافزار مخرب در ماه ژوئن ۲۰۱۹

جدیدترین آمارها نشان می‌دهد که بدافزارهایی که در ماه جولای شناسایی شده‌اند با لیست 10 بدافزار مخرب ماه قبل همخوانی دارند، البته مقداری افزایش در فعالیت بدافزار‌های WannaCry و Tinba هم مشاهده شده است.

افزایش فعالیت بدافزار Trickbot باعث مقداری افزایش در خانواده بدافزاری Multiple شده است و کاهش قابل توجه فعالیت‌های بدافزار Qakbot هم موجب کاهش در خانواده dropped شده است.
خانواده‌های مخربی که در این ماه بسیار مطرح بوده‌اند به صورت زیر می‌باشد:
Dropped: این خانواده شامل بدافزارهای موجود بر روی سیستم، کیت‌های اکسپلویت و نرم‌افزارهای آلوده شخص ثالث می‌شود. بدافزارهای Gh0st و Pushdo در این خانواده قرار دارند.
Malspam: ایمیل‌های ناخواسته که کاربر را ترغیب به دانلود بدافزار از سایت‌های مخرب و یا باز کردن پیوست‌های مخرب موجود در ایمیل‌ها می‌کند. بدافزارهای NanoCore، Dridex، Tinba و Kovter در این خانواده قرار دارند.
Malvertising: بدافزارهایی که به منظور تبلیغات مخرب استفاده می‌شوند.
Network: بدافزارهایی که از پروتکل‌های قانونی شبکه یا ابزارهای آن مانند پروتکل SMB یا PowerShell از راه دور، بهره‌برداری می‌کنند.
Multiple: بدافزارهایی که در حال حاضر در حداقل دو خانواده بدافزاری فعالیت دارند. بدافزارهای ZeuS، CoinMiner و Trickbot حداقل در دو خانواده بدافزاری فعالیت دارند.
لیست ده بدافزار مخرب این ماه به صورت زیر است:

Trickbot
Dridex
WannaCry 
ZeuS
NanoCore
CoinMiner
Kovter
Pushdo
Tinba (Tiny Banker)
Gh0st

آنتی‌ویروس‌ها از پس بدافزار‌های مرتبط با بیت‌کوین بر نمی‌آیند

آمار‌ها نشان می‌دهد که بازار ارز‌های دیجیتال با وجود افت شدید قیمت‌ها، همچنان مورد توجه کاربران سراسر دنیا قرار دارد.
 
افت 2500 دلاری بیت‌کوین طی ماه گذشته بیان‌گر آن بود که ارز‌های دیجیتال هنوز ارزش واقعی خود را در دنیا پیدا نکرده‌اند و این بازار به قول تحلیلگران ، با ریسک‌های زیادی برای سرمایه‌گذاری مواجه است . اما با همه این هشدار‌ها آمار‌ها نشان می‌دهد که هنوز مردم سراسر جهان دست از استخراج رمز‌ارز‌ها برنداشته‌اند و همچنان نرم افزار‌های ماینینگ مورد استقبال کاربران قرار دارد.
 
این موضوع مورد توجه هکرها نیز قرار گرفته است و امروز شاهد افزایش بدافزار‌ها و جاسوس‌افزارها با لباس بیت‌کوین و دیگر ارزها هستیم.
 
سینا محمودنسب کارشناس امنیت سایبری در این باره گفت : تحقیقات نشان می‌دهد که با شیوع گسترده بدافزارهای مرتبط با ارز رمزها ، آنتی‌ویروس‌ها و نرم‌افزارهای امنیتی از شناسایی ویروس‌ها و بدافزارها در این زمینه عاجزند و نمی توانند بیشتر این تهدیدات را شناسایی و از بین ببرند.
 
به گفته وی، این موضوع در آنتی‌ویروس‌های معروف دنیا به روشنی مشهود است و این ضعف ، بسیار مورد توجه هکرها قرار دارد.
 
این کارشناس امنیت سایبری افزود: بیشتر این بدافزار‌ها با عنوان استخراج‌کننده انواع ارز‌های دیجیتال درفضای مجازی منتشر می‌شوند و برخلاف نامشان هیچگاه اقدام به استخراج نمی‌کنند و تنها با فریب کاربران از فعالیت آن‌ها جاسوسی می‌کنند و بعضی از آن‌ها اطلاعات کاربران را در اختیار شرکت های تبلیغاتی قرار می‌دهند.
 
وی ادامه داد: البته این بی خطر‌ترین اتفاقی است که برای قربانیان این بدافزار‌ها رخ می‌دهد و این ماجرا می‌تواند خطرات بسیار بیشتری را به کاربران تحمیل کند.
 
محمودنسب با بیان اینکه استخراج مخفیانه، یکی دیگر از اقدامات بدافزار‌ها است، گفت: این نوع تهدیدات نیز امروز بسیار رایج شده است و اغلب با شکل و شمایل نرم‌افزار‌های فریبنده و بازی‌ها ، در اینترنت و حتی منبع قابل اعتمادی مثل گوگل‌پلی منتشر می‌شوند.
 
این کارشناس افزود: با نصب این بدافزار‌ها در ظاهر هیچ اتفاقی روی دستگاه قربانی انجام نمی‌گیرد و درنهایت نرم‌افزار نصب شده اجرا نمی‌شود؛ اما در پشت پرده بدافزاری روی سیستم نصب شده که می‌تواند به طور مخفیانه اقدام به استخراج ارزرمز‌ها کند.
 
وی با اشاره به اینکه استخراج مخفیانه می‌تواند دستگاه را مختل کند، گفت: استخراج ارزهای دیجیتال نیاز به پردازش‌های سنگینی دارد که پردازنده‌ها اصلی و کارت‌گرافیک را در سیستم‌ها حسابی مشغول می‌کند و این درحالی است که ارز‌های استخراج شده به حساب اشخاص تولیدکننده بدافزار روانه می‌شود و کاربر هیچ نصیبی از این کار نمی‌برد.
 
محمودنسب درپاسخ به این سوال که کاربران برای جلوگیری از به دام افتادن در این تهدیدات چه اقداماتی را باید انجام دهند؟ گفت: متاسفانه راهی نیست که بتوان احتمال آلوده‌نشدن به این بدافزار‌ها را به صفر رساند؛ اما می‌توان با اقداماتی احتمال آلوره شدن را به حداقل رساند.
 
به گفته این کارشناس امنیت سایبری، دریافت نرم‌افزار‌ها و بازی‌ها از منابع قابل اعتماد ، یکی از راهکارهایی است که باید برای جلوگیری از آلوده شدن به اینگونه بدافزار‌ها انجام داد.
 
وی افزود: بیشتر بدافزار‌ها در این زمینه از طریق افزونه‌های مرورگرها منتقل می‌شوند و بهتر است در این زمینه نیز از منابع قابل اعتماد برای نصب افزونه استفاده کرد.

ناتوانی آنتی‌ویروس‌ها در مقابله با نفوذ بدافزارهای ارز دیجیتالی

به گفته محققان امنیتی، بسیاری از برنامه‌های آنتی ویروس نیز از مقابله با نفوذ بدافزارهای مرتبط با سرقت ارزهای دیجیتال رمزپایه به رایانه کاربران ناتوان و عاجز مانده‌اند.
 
ارزهای دیجیتالی رمزنگاری شده خیلی زودتر از آن‌چیزی که تصور می‌شد، در میان مردم و کاربران در فضای اینترنت به محبوبیت و شهرت بالایی دست یافتغ به گونه‌ای که بسیاری از کاربران و سازمان‌ها از این طریق توانستند ثروت بسیاری را بدست بیاورند.
 
این روزها که بازار ارزهای دیجیتالی رمزنگاری شده بسیار داغ شده، وب‌سایت‌ها، حساب‌های کاربری و پلت‌فرم‌های بسیاری برای استخراج بیت‌کوین یا بیت‌کوین ماینینگ ایجاد شده است تا بتوانند با استفاده از آن‌ها به خرید و فروش و مبادلات تجاری کلان اقدام کنند.
 
هم‌زمان با استقبال بی‌نظیری که از استخراج این ارزهای دیجیتال شد، بسیاری از هکرها و مجرمان سایبری نیز به‌منظور استخراج بیت کوین ماینینگ، از حساب‌های کاربری، مرورگرهای اینترنتی و دستگاه‌های متصل به اینترنت کاربران (گوشی همراه و رایانه) به رایانه و دستگاه‌های الکترونیکی آن‌ها نفوذ یافته و از اطلاعات شخصی آن‌ها سوءاستفاده کرده و به سرقت ارزهای دیجیتال استخراج شده می‌پردازند.
 
حالا به تازگی محققان فعال در حوزه امنیت سایبری عنوان کرده‌اند که بسیاری از آنتی ویروس‌های قدرتمند موجود در بازار ابزارهای الکترونیکی نیز قادر نیستند به مبارزه و مقابله با شناسایی و سرقت ارزهای دیجیتال رمزپایه توسط هکرها بپردازند.
 
بر اساس گزارش وب سایت زد دی نت، به نظر می‌رسد که هکرها و مجرمان سایبری به منظور کسب درآمد و ثروت‌اندوزی از طریق سرقت ارزهای دیجیتال تمامی پروتکل‌های امنیتی مربوط به شناسایی نفوذ بدافزار در برنامه‌های آنتی ویروس را دور می‌زنند و بدین ترتیب هیچ کدام از آن‌ها نمی‌توانند سرقت ارزهای مجازی هم‌چون بیت کوین را شناسایی کرده و به کاربران اطلاع دهند. بدین ترتیب هکرها با خیال آسوده قادر خواهند بود به سرقت خود ادامه دهند و کسی هم متوجه این اقدام آن‌ها نشود.
 
محققان و پژوهشگران در موسسه پروف پوینت، پیش‌تر در این باره عنوان کرده‌ بودند که پس از انجام بررسی‌های فراوان مشخص و معلوم شده است که بدافزارهای موجود در بسیاری از پلت‌فرم‌های استخراج ارز دیجیتالی بزرگ و مشهور جهان، در ابتدا به ویندوز یا سیستم‌عامل رایانه کاربران حمله کرده و سپس به‌صورت کاملا محرمانه و مخفیانه ارزهای دیجیتالی رمزنگاری شده را به سرقت می‌برد.
 
در ماه‌های اخیر حملات سایبری بسیاری به مراکز بزرگ استخراج و سرمایه‌گذاری در ارزهای دیجیتال هم‌چون کوین چک شد که به گفته تحلیلگران، به دلیل همین نفوذ بدافزارهای خطرناک بوده است و گفته شد هکرها موفق شدند ۵۳۲ میلیون دلار از سرمایه‌های این مرکز را به سرقت ببرند. در سال ۲۰۱۴ میلادی هم یکی دیگر از بزرگترین مراکز مبادلاتی بیت کوین در آن زمان، پس از آن‌که ۴۵۰ میلیون دلار از سرمایه‌هایش را از دست داد، اعلام ورشکستگی کرد.
 

گودزیلا به جمع بدافزاران ویندوزی پیوست


"Godzilla" یک بدافزار دانلودکننده است که پس از نخستین اجرا در سیستم قربانی، بدنه را از یک سرور از راه دور دریافت می‌کند.

مجرمان سایبری در حال تبلیغ یک بدافزار با نام Godzilla در فروم‌های وب تاریک به قیمت ۵۰۰ دلار هستند. از این بدافزار به خوبی پشتیبانی می‌شود و به‌صورت دوره‌ای به‌روزرسانی جدید دریافت می‌کند.

رقیب این بدافزار Emotet است که بر اساس بررسی‌های Checkpoint، نرخ آلودگی Godzilla از آن کمتر است. در تبلیغات برای Godzilla آمده است که این بدافزار می‌تواند UAC را دور بزند. UAC یا User Account Control یک ابزار امنیتی مایکروسافت است که از نفوذ نرم‌افزارهای مخرب جلوگیری می‌کند.

بر اساس اطلاعات سایت افتا، این بدافزار قابلیت‌های دیگری از جمله حذف فایل‌های پشتیبان را نیز داراست. این کار برای جلوگیری از ابزارهای ضد باج‌افزار است تا نتوانند از طریق فایل‌های پشتیبان، عملیات بازیابی را انجام دهند. علاوه بر این، برای شناسایی و تایید سرور C&C و ارتباط با آن، بدافزار از RSA-۲۰۴۸ استفاده می‌کند.
بنظر می‌رسد که آخرین نسخه این بدافزار از دسامبر سال گذشته در حال توسعه بوده است و آخرین نسخه آن دارای ماژول‌های انتشار، keylogger و سرقت گذرواژه است.

حمله بدافزار خطرناک از طریق روترهای اینترنتی

موسسه امنیتی کاسپراسکای از شناسایی بدافزار پیچیده و خطرناکی خبر داده که با حمایت یکی از دولت های جهان طراحی شده و برای نفوذ به رایانه ها از روترهای اینترنتی استفاده می کند.
به گزارش خبرگزاری مهر به نقل از انگجت، بدافزار یادشده که Slingshot نام دارد، حملات خود را به صورت کاملا مخفیانه و لایه لایه انجام می دهد و ابتدا روترهای MikroTik را هدف قرار می دهد. این بدافزار ابتدا یک فایل library را حذف و به جای آن کدهای مخربی را جاسازی می کند و بارگذاری بقیه کدهای آلوده نیز به همین شیوه انجام می شود.
 
سپس حمله بدافزار Slingshot به رایانه شخصی در دو مرحله صورت می گیرد. در مرحله اول هسته سیستم عامل رایانه هدف قرار گرفته و آلوده می شود و بدافزار به حافظه و اطلاعات ذخیره شده دسترسی عمقی پیدا می کند. در مرحله دوم  کدهای مخرب با هدف هماهنگ سازی فعالیت های خود، مدیریت فایل های سیستمی و فعال و هشیار نگهداشتن بدافزار اقداماتی را انجام می دهند.
 
این بدافزار در فایل های به دقت رمزگذاری شده مخفی می شود و لذا شناسایی و مقابله با آن بسیار دشوار است. کدهای مورد استفاده برای نگارش این بدافزار از سال ۲۰۱۲ فعال بوده اند و البته هنوز مشخص نیست کدهای یادشده برای چه فعالیت های مخربی به کار گرفته شده اند.
 
گمانه زنی های کاسپراسکای با توجه به انگلیسی بودن بخش عمده کدنویسی ها و روان بودن زبان به کار گرفته شده نشان می دهد که احتمالا یک یا تعدادی از کشورهای عضو گروه پنج چشم (آمریکا، انگلیس، استرالیا، نیوزلند و کانادا) در نگارش این بدافزار مخرب دخالت داشته اند. البته تحقیقات در این زمینه هنوز در جریان است.