بنابر گزارش شرکت امنیت سایبری کسپرسکی (Kaspersky)، عوامل مخرب در تلاش هستند با استفاده از بدافزار جاسازیشده در افزونههای جعلی مایکروسافت آفیس (Microsoft Office) که در سایت میزبانی نرمافزار SourceForge بارگذاری شدهاند، ارزهای دیجیتال کاربران را سرقت کنند.
به گزارش میهن بلاکچین، یکی از این فایلهای مخرب با نام “officepackage”، شامل افزونههای واقعی مایکروسافت آفیس است، اما در پسزمینه بدافزاری به نام ClipBanker را پنهان کرده که آدرس کیف پول ارز دیجیتال کپیشده در کلیپبورد رایانه قربانی را با آدرس مهاجم جایگزین میکند. تیم تحقیقاتی کسپرسکی این موضوع را در گزارشی در تاریخ ۸ آوریل (۱۹ فروردین) اعلام کرد.
توضیحات تیم کسپرسکی درباره بدافزار “officepackage”
تیم کسپرسکی توضیح داد:
کاربران کیفپولهای ارز دیجیتال معمولاً آدرسها را بهجای تایپ کردن کپی میکنند. اگر دستگاه آنها به ClipBanker آلوده شده باشد، پول قربانی به جایی کاملا غیرمنتظره منتقل خواهد شد.
صفحه پروژه جعلی در SourceForge به گونهای طراحی شده که شبیه به یک صفحه ابزار توسعهدهنده معتبر بهنظر برسد؛ این صفحه افزونههای آفیس را نمایش میدهد، دارای دکمههای دانلود است و حتی میتواند در نتایج جستوجو ظاهر شود.
کسپرسکی اعلام کرد زنجیره آلودهسازی این بدافزار شامل ارسال اطلاعاتی از دستگاه آلودهشده از جمله آدرس IP، کشور و نام کاربری به هکرها از طریق پیامرسان تلگرام است.
این بدافزار همچنین میتواند سیستم آلوده را برای بررسی وجود نسخههای قبلی نصبشده یا نرمافزارهای ضدویروس اسکن کرده و در صورت تشخیص، خودش را حذف کند.
مهاجمان میتوانند دسترسی به سیستم را به دیگران بفروشند
تحلیلگران کسپرسکی اعلام کردهاند که برخی از فایلهای موجود در این دانلود جعلی بسیار کوچک هستند که همین موضوع میتواند یک «زنگ خطر» باشد؛ زیرا فایلهای مربوط به برنامههای آفیس، حتی وقتی فشردهسازی شده باشند نیز اینقدر کوچک نیستند.
برخی دیگر از فایلها نیز با دادههای بیارزش پر شدهاند تا کاربران تصور کنند با یک نصبکننده واقعی نرمافزاری طرف هستند. این شرکت اعلام کرد مهاجمان با روشهای متعدد، از جمله روشهای غیرمتعارف، دسترسی به سیستم آلوده را حفظ میکنند.
تیم کسپرسکی گفت:
این حمله عمدتا داراییهای دیجیتال را هدف قرار میدهد و از یک ماینر و ClipBanker استفاده میکند؛ اما مهاجمان میتوانند دسترسی به این سیستم آلوده را به بازیگران خطرناکتر نیز بفروشند.
رابط کاربری این بدافزار به زبان روسی است و کسپرسکی گمان میکند که کاربران روسزبان را هدف گرفته باشد. در این گزارش آمده:
حدود ۹۰٪ از قربانیان احتمالی در روسیه هستند؛ جایی که ۴٬۶۰۴ کاربر بین اوایل ژانویه (دی ۱۴۰۳) تا اواخر مارس (اسفند ۱۴۰۳) با این طرح مواجه شدهاند.
کسپرسکی توصیه کرده که برای جلوگیری از قربانی شدن، نرمافزارها را فقط از منابع قابلاعتماد دانلود کنید؛ چرا که برنامههای کرکشده و گزینههای دانلود جایگزین خطرات بیشتری دارند. این شرکت گفت:
توزیع بدافزار با ظاهر نرمافزارهای کرکشده موضوع جدیدی نیست. از آنجا که کاربران بهدنبال راههایی برای دانلود اپلیکیشنها خارج از منابع رسمی هستند، مهاجمان هم سایتهای خود را عرضه میکنند. آنها مدام به دنبال راههای جدیدی هستند تا وبسایتهایشان را معتبر جلوه دهند.
شرکتهای دیگر نیز اخیرا درباره شکلهای جدید بدافزاری که کاربران کریپتو را هدف قرار میدهند هشدار دادهاند.
به گفته شرکت Threat Fabric در گزارشی در تاریخ ۲۸ مارس (۸ فروردین)، خانواده جدیدی از بدافزار کشف شده که میتواند یک صفحه جعلی (Fake Overlay) را روی گوشیهای اندرویدی اجرا کند و کاربر را فریب دهد تا عبارت بازیابی (Seed Phrase) کیف پول خود را وارد کند؛ در حالی که بدافزار در حال کنترل کامل دستگاه است.
