موزیلا افزونه‌های جاسوس را حذف کرد

/در , , , /توسط
در حالی که بیش از ۵۰۰ هزار کاربر، حداقل یکی از این افزونه‌های فایرفاکس را نصب کرده‌اند، موزیلا برای ریشه‌کن کردن افزونه‌های دارای فعالیت جاسوسی از مرورگر خود، بیش از ۲۰ افزونه را از سایت فایرفاکس حذف کرده است.
 
در ماه جولای سال جاری، مرورگرهای گوگل کروم و موزیلا فایرفاکس، افزونه‌ی "Stylish" را به‌دلیل ثبت سابقه‌ی مرورها، از مرورگرهای خود حذف کردند، اما موزیلا تلاش‌های خود را برای ریشه‌کن کردن افزونه‌های دارای فعالیت جاسوسی از مرورگر خود ادامه داد و اکنون بیش از ۲۰ افزونه، از سایت فایرفاکس حذف شده‌اند.
 
فهرست افزونه‌های مسدودشده شامل «Web Securiy» است. این افزونه‌ی امنیتی فایرفاکس دارای بیش از ۲۲۰ هزار کاربر است که موزیلا آن‌ را به دلیل ارسال تاریخچه‌ی مرور به یک سرور واقع در آلمان، حذف کرد. راب وو، یکی از مهندسین مرورگر موزیلا اعلام کرد که افزونه‌ی "Web Security" در کنار دیگر افزونه‌ها پس از انجام یک بررسی جامع، برداشته شده‌اند. وی اضافه کرد که این افزونه‌ها در AMO (addons.mozilla.org) در دسترس نیستند و در مرورگرهای کاربران غیرفعال شده‌اند.
او با بررسی کد منبع یک افزونه و بازیابی تمامی افزونه‌های فایرفاکس از AMO با استفاده از "webextaware ، ۲۰ افزونه یافت و آن‌ها را بر اساس ویژگی‌هایشان به دو گروه تقسیم کرد؛
گروه اول مشابه افزونه‌ی web Security است که در زمان نصب، درخواستی به سرور دلخواه ارسال می‌کند تا آدرس URL سرور دیگر را دریافت کند. هر بار که کاربر به برگه‌ی (Tab)  جدیدی می‌رود، آدرس آن به این سرور راه دور ارسال می‌شود. پاسخ‌ها در یک فرمت خاص می‌توانند قابلیت اجرای کد از راه دور(RCE)  را فعال کنند. خوشبختانه، نویسندگان در هفت مورد از هر ۱۰ افزونه (از جمله Web Security)، در پیاده‌سازی دچار اشتباه شدند که این اشتباه مانع از انجام RCE شد.
گروه دوم، آدرس‌های برگه را همانند گروه اول جمع‌آوری نمی‌کند، اما می‌تواند کد راه دور را اجرا کند (که اثر بدتری دارد). به‌نظر می‌رسد این گروه، یک نسخه‌ی تکامل‌یافته از گروه اول است، زیرا همان منطق برای RCE مورد استفاده قرار گرفته است.
طبق اطلاعات مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) همه‌ی این افزونه‌ها از پنهان‌سازی کد استفاده می‌کنند که در آن، عملکردهای واقعی فرمت مشروع با کد ظاهرا بی‌ضرر ترکیب شده و روی مکان‌ها و فایل‌های مختلف پخش می‌شوند.
علاوه بر  Web Security، دیگر افزونه‌های ممنوع شامل Browser Security،Browser Privacy  و Browser Safety هستند. همه‌ی این افزونه‌ها داده‌ها را به سرور مشابه Web Security ارسال می‌کردند.
سایر افزونه‌های ممنوع‌شده عبارتند از:
 YouTube Download & Adblocker Smarttube
 Popup-Blocker
 Facebook Bookmark Manager
 Facebook Video Downloader
 YouTube MP۳ Converter & Download
 Simply Search
 Smarttube - Extreme
 Self Destroying Cookies
 Popup Blocker Pro
 YouTube - Adblock
 Auto Destroy Cookies
 Amazon Quick Search
 YouTube Adblocker
 Video Downloader
 Google NoTrack
 Quick AMZ
در مجموع، بیش از ۵۰۰ هزار کاربر، حداقل یکی از این افزونه‌ها را در فایرفاکس خود نصب کرده‌اند. پس از گزارش این افزونه‌ها به موزیلا، این شرکت نه‌تنها آن‌ها را از وب‌سایت موزیلا حذف کرد بلکه در مرورگرهای کاربران نیز غیرفعال کرد.
 

هجوم هکرهای اسرائیلی به فعالان حقوق بشر و خبرنگاران

/در , , , , , /توسط
هکرهای اسرائیلی با انتشار یک جاسوس‌افزار اطلاعات بسیاری از فعالان حقوق بشر در بسیاری از کشورها از جمله عربستان سعودی را به سرقت برده‌اند.
 
به گزارش وب سایت هکرنیوز، گروه NSO یک شرکت کوچک مستقر در رژیم صهیونیستی است که با انتشار بدافزار، باج‌افزار و جاسوس‌افزارهای مختلف به کنترل از راه دور و سرقت اطلاعات ذخیره شده و موجود در گوشی‌های هوشمند اندرویدی، آیفون و همچنین سایر دستگاه‌های الکترونیکی می‌پردازد. این گروه به منظور جاسوسی و دسترسی به اطلاعات محرمانه موجود در دستگاه‌های اطلاعاتی، نهادهای امنیتی و افراد ارتشی و مهم کشورهای مختلف فعالیت‌های گسترده‌ای را در سراسر جهان انجام می‌دهند.
 
حالا تازه‌ترین گزارش‌های منتشره حاکی است که یکی از جدیدترین و به روزترین جاسوس‌افزارهای این شرکت تحت عنوان پگاسوس (Pegasus)، دستگاه‌های الکترونیکی و گوشی‌های موبایل بسیاری از فعالان حقوق بشر، خبرنگاران و روزنامه‌نگاران موردنظر خود را هک کرده و به اطلاعات موجود در آن‌ها نفوذ پیدا کرده است.
 
بر اساس این آمار و گزارش‌ها، ملیت بیشتر این روزنامه‌نگاران، خبرنگاران و فعالان حقوق بشر عربستان سعودی، امارات متحده عربی و مکزیک بوده است که البته نام برخی دیگر از ملیت های دیگر نیز در این گزارش آمده است.  
 
جاسوس افزار پگاسوس قادر است با هک و نفوذ از راه دور گوشی‌های هوشمند اندرویدی و iOS، به حجم زیادی از اطلاعات موردنیاز هکرها و مجرمان سایبری نظیر پیام‌های ارسال و دریافت شده قربانیان، تاریخچه ایمیل و پست الکترونیکی، پیام رسان‌هایی نظیر واتس اپ، مکان جغرافیایی (Location) کاربر، دوربین، تصاویر و محتوای ذخیره شده موبایل آن‌ها دسترسی پیدا کند.
 
تمامی این اتفاقات به گونه‌ای رخ می‌دهد که خود قربانی و کاربر موردنظر متوجه سرقت اطلاعاتش نمی‌شود و همه چیز کاملا تحت کنترل هکرها و مجرمان سایبری مربوطه خواهد بود و آن‌ها تا زمانی که بخواهند، دستگاه‌های الکترونیکی قربانیان را تحت کنترل و مدیریت خود خواهند گرفت.
 
آمار حملات سایبری و هک در سال ۲۰۱۷ به اوج خود رسیده است و برآوردها نیز حاکی است که رکورد حملات سایبری در سال آینده میلادی ۲۰۱۸ شکسته خواهد شد. بدافزارها، باج ‌افزارها و حملات DDOS از جمله تهدیدهای امنیتی بودند که از سال ۲۰۱۶ کاربران فضای مجازی را در معرض خطر حملات سایبری قرار داده‌اند و موجب لو رفتن اطلاعات شخصی و محرمانه آن‌ها شده است.
 
بنابراین می‌توان گفت خطر حملات سایبری در کمین تمامی افراد، کاربران و شرکت‌های کوچک و بزرگ در جهان است و دیگر نمی توان ادعا کرد که کسی از گزند و خطرات حملات سایبری در امان است.

اپراتورهای ارتباطات ماهواره ای در خطر حمله جاسوسی سایبری

/در , , , , , , , /توسط
مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات (افتا) با اعلام گزارشهای جهانی از هک ماهواره های فضایی، نسبت به حمله جاسوسی سایبری به اپراتورهای ارتباطی ماهواره ای هشدار داد.
 
مرکز افتای ریاست جمهوری اعلام کرد: بر اساس گزارش های منتشر شده، اخیرا ماهواره های فضایی مورد هدف هکرهایی قرار گرفته اند. طبق گفته سایمنتک (Symantec) ،یک گروه ناشناخته تلاش کرده است طی یک حمله جاسوسی سایبری، به اپراتورهای ارتباطی ماهواره ای نفوذ کند.
 
هکرها در این حمله به سیستم ماهواره دست پیدا کرده و توانایی آسیب رسانی به آنرا داشته اند، اما در این حمله، هدف آنها جمع آوری اطلاعات بوده است و در آینده امکان نفوذ دوباره وجود دارد.
 
گروه Symantec در گزارشی اعلام کرد که این گروه هک که Thrip نام گرفته است، در گذشته یک شرکت ارائه دهنده تصویربرداری جغرافیایی، یک پیمانکار دفاعی و سه اپراتور مخابراتی مستقر در آسیای جنوب شرقی را نیز مورد هدف قرار داده است. گروه Thrip از سال ۲۰۱۳ فعال بوده است. 
 
این گروه تحقیقاتی امنیتی در ماه ژانویه زمانی متوجه این حملات شد که نرم افزار امنیتی این شرکت یک هشدار در یک اپراتور بزرگ مخابراتی در آسیای جنوب شرقی دریافت کرد.
 
برای جلوگیری از شناسایی، Thrip از ترکیبی از نرم افزارهای مخرب و ابزارهای مشروع سیستم مایکروسافت مانند PowerShell برای سرقت رمز عبور و اطلاعات حساس از رایانه های هدف استفاده کرده است.
 
در موج اخیر حملات، Thrip روی جمع آوری داده ها از شرکت های مستقر در ایالات متحده و آسیای جنوب شرقی متمرکز شد.
 
گروه تحقیقاتی سایمنتک هشدار داد که انگیزه این گروه جاسوسی است، اما با توجه به علاقه این گروه در به خطر انداختن سیستم های عملیاتی، ممکن است موضع تهاجمی تر را نیز اتخاذ کند.
 
این حملات اولین حملاتی نیستند که ماهواره های فضایی را مورد هدف قرار داده باشند. در سال ۲۰۱۱ دو ماهواره نیز تحت تاثیر قرار گرفتند و در سال ۲۰۱۴ شبکه ماهواره یک سازمان هواشناسی نیز مورد حمله قرار گرفت.

هشدار مرکز افتا درباره خانواده جدید جاسوس افزارهای تلگرامی

/در , , , , /توسط
مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات از کشف خانواده جدیدی از بدافزارهای جاسوسی خبر داده که از پروتکل اپلیکیشن تلگرام در سیستم عامل آندرویید سوءاستفاده می کند.
 
خانواده جدیدی از RATها در بستر سیستم عامل آندرویید پا به عرصه ظهور گذاشته اند که رفتاری تهاجمی داشته و با سوءاستفاده از پروتکل برنامه کاربردی تلگرام اقدام به تبادل داده با سرورهای C&C خود می کنند.
مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات در این باره اعلام کرد: مهاجمان نوع جدیدی از RATهای آندروییدی را از طریق فروشگاه های اپلیکیشن (برنامه کاربردی) شخص ثالث، رسانه های اجتماعی و برنامه های پیام رسان توزیع کرده اند که نکته مهم درباره این نوع حمله تمرکز روی کاربران ایرانی است.
مطابق با این اعلام، مهاجمان برنامه آلوده خود را در قالب تکنیک های مهندسی اجتماعی نظیر برنامه های کاربردی دریافت ارز دیجیتال رایگان (بیت کوین)، اینترنت رایگان و افزایش دنبال کنندگان (Followers ) در شبکه های اجتماعی اقدام به توزیع این RAT کرده اند.
این بدافزار در تمامی نسخه های سیستم عامل آندرویید قابل اجرا ست.
محققان امنیتی موسسه ESET نیز با تایید شناسایی این خانواده جدید از بدافزار جاسوسی، عنوان کرده اند که این بدافزار از اکتبر سال ۲۰۱۷ میلادی انتشار یافته و در تاریخ مارس سال ۲۰۱۸ کد منبع آن به صورت کاملا رایگان در کانال های هک پیام رسان تلگرام در دسترس عموم قرار داده شده است.
زمانی که برنامه آلوده نصب می شود، با استفاده از تکنیک های مهندسی اجتماعی اقدام به دریافت مجوزهای مدیریتی می کند و پس از اتمام فرآیند نصب، یک پیغام جعلی با مضمون «برنامه قادر به اجرا روی دستگاه مورد نظر شما نیست» و در ظاهر پیغام «پایان مراحل پاک کردن» به صورت popup برای قربانی نمایش داده می شود.
نکته مهم درباره این بدافزار این است که پیغام پاک کردن برنامه نصب شده صرفا اقدام به حذف آیکون می کند و برنامه مخرب همچنان در دستگاه قربانی باقی خواهد ماند و بدین ترتیب دستگاه مورد نظر در سرور مهاجمان ثبت می شود.این بدافزار شامل گستره وسیعی از قابلیت ها نظیر جاسوسی و استخراج فایل ها، شنود و رهگیری پیام های متنی و لیست مخاطبان، ارسال پیام متنی و برقراری تماس، ضبط صدا و تصویربرداری از صفحه نمایش، موقعیت جغرافیایی دستگاه و کنترل تنظیمات دستگاه است. این RAT که با نام HeroRat شناخته شده است به دسته های مختلفی نظیر پنل های برنزی (معادل ۲۵ دلار آمریکا)، نقره ای (۵۰ دلار آمریکا) و طلایی (۱۰۰ دلار آمریکا) تقسیم شده و کد منبع آن به قیمت ۶۰۰ دلار امریکا به فروش رسیده است.
این بدافزار ازسوی ثابت افزار Xamarin توسعه داده شده است.
مهاجم با استفاده از قابلیت های Telegram bot اقدام به کنترل دستگاه آلوده می کند. به عنوان مثال، مهاجم می تواند دستگاه قربانی خود را به سادگی فشردن دکمه های تعبیه شده در نسخه بدافزار، تحت کنترل خود درآورد.
این جاسوس افزار تبادل اطلاعات بین سرور C&C و داده های استخراج شده را به منظور جلوگیری از رصد ترافیک شبکه از طریق پروتکل تلگرام انجام می دهد.برای جلوگیری از آلودگی، نسبت به تفویض مجوزهای درخواستی توسط برنامه های کاربردی دقت لازم را داشته باشید، برنامه های کاربردی خود را از منابع و فروشگاه های معتبر دریافت کنید، نسخه سیستم عامل خود را به روز نگاه
 

ضد بدافزار جاسوسی تلگرام نصب کنید

/در , , , , /توسط
مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات از کشف خانواده جدیدی از بدافزارهای جاسوسی خبر داده که از پروتکل اپلیکیشن تلگرام در سیستم عامل اندروید، سوءاستفاده می‌کند.
 
خانواده جدیدی از RATها در بستر سیستم‌عامل اندروید پا به عرصه ظهور گذاشته‌اند که رفتاری تهاجمی داشته و با سوءاستفاده از پروتکل برنامه کاربردی تلگرام اقدام به تبادل داده با سرورهای C&C خود می‌کنند.
 
مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات در این باره اعلام کرد: مهاجمان نوع جدیدی از RATهای اندرویدی را از طریق فروشگاه‌های اپلیکیشن (برنامه‌کاربردی) شخص ثالث، رسانه‌های اجتماعی و برنامه‌های پیام‌رسان توزیع کرده‌اند که نکته مهم در خصوص این نوع حمله تمرکز روی کاربران ایرانی است.
 
مطابق با این اعلام، مهاجمان برنامه آلوده خود را در قالب تکنیک‌های مهندسی اجتماعی نظیر برنامه‌های کاربردی دریافت ارز دیجیتال رایگان (بیت‌کوین)، اینترنت رایگان و افزایش دنبال‌کنندگان (Followers) در شبکه‌های اجتماعی اقدام به توزیع این RAT کرده اند.
 
این بدافزار در تمامی نسخه‌های سیستم‌عامل اندروید قابل اجرا ‌است.
 
محققان امنیتی موسسه ESET نیز با تایید شناسایی این خانواده جدید از بدافزار جاسوسی، عنوان کرده اند که این بدافزار از اکتبر سال ۲۰۱۷ میلادی انتشار یافته‌ و در تاریخ مارس سال ۲۰۱۸ کد منبع آن به‌صورت کاملا رایگان در کانال‌های هک پیام‌رسان تلگرام در دسترس عموم قرار داده شده است.
 
زمانی که برنامه آلوده نصب می‌شود با استفاده از تکنیک‌های مهندسی اجتماعی اقدام به دریافت مجوزهای مدیریتی می‌کند و پس از اتمام فرآیند نصب، یک پیغام جعلی با مضمون «برنامه قادر به اجرا روی دستگاه مورد نظر شما نیست» و در ظاهر پیغام «پایان مراحل پاک‌کردن» به صورت popup برای قربانی نمایش داده می‌شود.
 
نکته مهم در خصوص این بدافزار این است که پیغام پاک کردن برنامه نصب شده صرفا اقدام به حذف آیکون می‌کند و برنامه مخرب همچنان در دستگاه قربانی باقی خواهد ماند و بدین ترتیب دستگاه مورد نظر در سرور مهاجمان ثبت می‌شود.
 
این بدافزار شامل گستره وسیعی از قابلیت‌ها نظیر جاسوسی و استخراج فایل‌ها، شنود و رهگیری پیام‌های متنی و لیست مخاطبان، ارسال پیام متنی و برقراری تماس، ضبط صدا و تصویربرداری از صفحه نمایش، موقعیت جغرافیایی دستگاه و کنترل تنظیمات دستگاه است. 
 
این RAT که با نام HeroRat شناخته شده‌است به دسته‌های مختلفی نظیر پنل‌های برنزی (معادل ۲۵ دلار آمریکا)، نقره‌ای (۵۰ دلار آمریکا) و طلایی (۱۰۰ دلار آمریکا) تقسیم شده و کد منبع آن به قیمت ۶۰۰ دلار آمریکا به فروش رسیده است.
 
این بدافزار توسط ثابت افزار Xamarin توسعه داده شده است.
 
مهاجم با استفاده از قابلیت‌های Telegram bot اقدام به کنترل دستگاه آلوده می‌کند. به‌عنوان مثال، مهاجم می‌تواند دستگاه قربانی خود را به سادگی فشردن دکمه‌های تعبیه شده در نسخه‌ بدافزار، تحت کنترل خود در آورد.
 
این جاسوس افزار تبادل اطلاعات بین سرور C&C و داده‌های استخراج شده را به منظور جلوگیری از رصد ترافیک شبکه از طریق پروتکل تلگرام انجام می‌دهد.
 
توصیه های امنیتی برای پیشگیری از آلودگی به این بدافزار و سایر بدافزارهای مشابه
 
- نسبت به تفویض مجوزهای درخواستی توسط برنامه‌های کاربردی دقت لازم را داشته باشید.
 
- برنامه‌های کاربردی خود را از منابع و فروشگاه‌های معتبر دریافت کنید.
 
- نسخه سیستم‌عامل خود را به‌روز نگاه دارید.
 
- از ابزارهای رمزنگاری داده در دستگاه خود استفاده کنید.
 
- از داده‌های مهم خود پشتیبان تهیه کنید.
 
- یک برنامه ضد بدافزار در دستگاه خود نصب کنید.

کشف جاسوس‌افزار پیشرفته سایبری

/در , , , , /توسط
مرکز مدیریت راهبردی افتای ریاست جمهوری از کشف جاسوس افزار جدید خطرناک با نام InvisiMole خبر داد که به عنوان ابزاری برای مقاصد ملی و مالی مورد استفاده قرار می گیرد.
 
به گزارش مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات (افتا)، پژوهشگران امنیتی ESET بدافزاری را کشف کرده‌اند که در ۵ سال گذشته به شدت مورد استفاده قرار گرفته است؛ درحالی که ریشه این بدافزار جدید مشخص نشده، اما باورها بر این است که این بدافزار یک ابزار پیشرفته جاسوسی سایبری است که برای مقاصد ملی و مالی مورد استفاده قرار می‌گیرد.
 
این جاسوس افزار که InvisiMole نام گرفته، از سال ۲۰۱۳ فعال بوده است. به گفته پژوهشگران، این بدافزار از کدنویسی هوشمندانه‌ای برخوردار بوده و از دو ماژول تشکیل شده است. هر دو ماژول دارای ویژگی‌های جاسوسی اطلاعات هستند و به یکدیگر کمک می‌کنند تا اطلاعات را استخراج کنند.
 
ماژول نخست که RC۲FM نام دارد و پیچیدگی کمتری نسبت به ماژول دومی دارد، فقط از ۱۵ دستور پشتیبانی می‌کند و قابلیت‌های ویرایش سیستم محلی و جستجو و سرقت اطلاعات را دارد. ویژگی بارز این ماژول، قابلیت آن در استخراج تنظیمات پراکسی از مرورگرها و استفاده از پیکربندی آنها و ارسال این اطلاعات به سرور C&C است.
 
سایر قابلیت‌های این ماژول شامل روشن کردن میکروفون کاربر، ضبط صدا، تبدیل آن به فایل MP۳ و ارسال به سرور C&C است. همچنین این جاسوس افزار می‌تواند وب‌کم کاربر را روشن کند و از صفحه نمایش کاربر screenshot بگیرد. استخراج اطلاعات سیستمی و تغییرات در پیکربندی سیستم از سایر قابلیت‌های آن است.
 
ماژول دوم که RC۲CL نام دارد، دارای قابلیت‌های پیشرفته‌ای است که می‌توان از یک جاسوس ابزار حرفه‌ای، انتظار داشت. این ماژول حاوی ۸۴ دستور در پشتی است که می‌تواند دستورات shell را به صورت راه دور اجرا کند، کلیدهای رجیستری را تغییر دهد، فایل اجرا کند، لیست نرم‌افزارهای نصب شده را بدست آورد، درایورها را بارگذاری کند، اطلاعات شبکه را بدست آورد، UAC را غیر فعال کند، فایروال ویندوز را غیرفعال کند و غیره. این ماژول نیز مانند ماژول اول می‌تواند میکروفون کاربر را روشن کند و همچنین از صفحات عکس بگیرد.
 
از ویژگی‌های منحصر به فرد این ماژول، قابلیت آن در حذف فایل‌ها خود پس از جمع‌آوری اطلاعات به منظور مخفی ماندن از ابزارهای کشف بدافزار و ویروس است. ویژگی دیگر آن در تبدیل خود به یک پراکسی و تسهیل اتصالات با ماژول اول و سرور C&C مهاجم است.