مراقب دانلود‌های خود باشید! به‌روز‌رسانی‌های جعلی ویندوز و بدافزار‌ها

محققان هشدار داده‌اند که یک کمپین کلاهبرداری سایبری جدید با استفاده از به‌روزرسانی‌های جعلی ویندوز، قربانی‌ها را به دانلود و اجرای بدافزار آورورا (Aurora)، اطلاعات‌دزد، در دستگاه‌های خود وادار می‌کنند.

کارشناسان در مالوربایتس (Malwarebytes) شرکت نرم‌افزار آمریکایی، اخیراً یک کمپین تبلیغاتی خبیث را کشف کردند که از تبلیغات “پاپ-آندر” (pop-under) به نوعی مبتنی بر وب، به منظور ارسال یک بارگیری نرم‌افزار مخرب بهره می‌برد.

تبلیغات “پاپ-آندر” نوعی تبلیغ است که زمانی که کاربر مرورگر را ببندد یا آن را از دید خارج کند، زیر مرورگر بارگیری می‌شود و تنها پس از بستن یا جابجایی مرورگر قابل‌مشاهده است. این تبلیغات عمدتاً در وب‌سایت‌هایی با محتوای بزرگسال با تعداد بازدیدکنندگان زیاد نمایش داده می‌شوند و به صورت تمام صفحه به کاربر اعلام می‌کنند که نیاز به به‌روزرسانی دستگاه‌شان دارند. گفته شده است که در این کمپین بیش از دوازده دامنه استفاده شده است.

قربانیان ترکیه‌ای

افرادی که دام این کمپین می‌افتند، یک فایل به نام ChromeUpdate.exe را دانلود می‌کنند که در واقع یک بارگیری نرم‌افزار مخرب به نام “Invalid Printer” است. محققان می‌گویند که Invalid Printer یک بارگیری نرم‌افزار مخرب است که به طور اختصاصی توسط این تهدید خاص و ناشناس استفاده می‌شود و به عنوان یک “بارگیری کاملاً غیرقابل‌تشخیص” (FUD) شناخته می‌شود. بعد از رسیدن Invalid Printer به نقطه انتهایی و هدف، ابتدا کارت گرافیک را بررسی می‌کند تا ببیند آیا روی یک دستگاه مجازی یا در یک محیط آزمایشی قرار دارد یا خیر. اگر تشخیص دهد که دستگاه هدف، معتبر است؛ یک نسخه از نرم‌افزار آورورا (Aurora) که اطلاعات‌ دزد می‌باشد را از حالت فشرده خارج کرده و راه‌اندازی می‌کند.

با ادعای خالقان آن، آورورا یک قطعه نرم‌افزار مخرب با “قابلیت‌های گسترده” و تشخیص ضعیف آنتی‌ویروس است. در واقع، طبق گفته شرکت مالوربایتس، آنتی‌ویروس‌ها چند هفته طول کشید تا نصب‌های آورورا را به عنوان مخرب شناسایی کنند. آورورا که به زبان Golang نوشته شده است، بیش از یک سال است که در تالار‌های گفتمان دارک وب (سایتی که در دسترس عموم نبوده و بیشتر برای مقاصد غیرقانونی مورد استفاده قرار می گیرد) به فروش می‌رسد. به نظر محققان، در این کمپین خاص، حدود ۶۰۰ دستگاه تحت‌تأثیر قرار گرفته است.

بر اساس گفتهٔ ژروم سگورا (Jérôme Segura)، مدیر تشخیص هوشمند تهدیدات در شرکت مالوربایتس، بیشترین قربانیان ترکیه‌ای هستند، زیرا هر بار که نمونه جدیدی به ویروس توتال ارسال می‌شود، از یک کاربر ترکیه‌ای است.

به نقل از این محقق “در بسیاری از موارد، نام فایل به نظر می‌رسید که به تازگی از کمپایلر (تبدیل‌گر سورس کد به زبان ماشین) بیرون آمده است (به عنوان مثال build1_enc_s.exe)”.

نظرات کاربران

چنانچه دیدگاهی توهین آمیز باشد و متوجه نویسندگان و سایر کاربران باشد تایید نخواهد شد.
چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.