هشدار کسپرسکی؛ حمله بدافزار جعلی آفیس به کاربران کریپتو

هشدار کسپرسکی درباره تله جدید هکرها؛ حمله بدافزارهای جدید در قالب افزونه‌های جعلی آفیس به کاربران کریپتو

بنابر گزارش شرکت امنیت سایبری کسپرسکی (Kaspersky)، عوامل مخرب در تلاش‌ هستند با استفاده از بدافزار جاسازی‌شده در افزونه‌های جعلی مایکروسافت آفیس (Microsoft Office) که در سایت میزبانی نرم‌افزار SourceForge بارگذاری شده‌اند، ارزهای دیجیتال کاربران را سرقت کنند.

به گزارش میهن بلاکچین، یکی از این فایل‌های مخرب با نام “officepackage”، شامل افزونه‌های واقعی مایکروسافت آفیس است، اما در پس‌زمینه بدافزاری به نام ClipBanker را پنهان کرده که آدرس کیف پول ارز دیجیتال کپی‌شده در کلیپ‌بورد رایانه قربانی را با آدرس مهاجم جایگزین می‌کند. تیم تحقیقاتی کسپرسکی این موضوع را در گزارشی در تاریخ ۸ آوریل (۱۹ فروردین) اعلام کرد.

توضیحات تیم کسپرسکی درباره بدافزار “officepackage”

تیم کسپرسکی توضیح داد:

کاربران کیف‌پول‌های ارز دیجیتال معمولاً آدرس‌ها را به‌جای تایپ کردن کپی می‌کنند. اگر دستگاه آن‌ها به ClipBanker آلوده شده باشد، پول قربانی به جایی کاملا غیرمنتظره منتقل خواهد شد.

صفحه پروژه جعلی در SourceForge به گونه‌ای طراحی شده که شبیه به یک صفحه ابزار توسعه‌دهنده معتبر به‌نظر برسد؛ این صفحه افزونه‌های آفیس را نمایش می‌دهد، دارای دکمه‌های دانلود است و حتی می‌تواند در نتایج جست‌وجو ظاهر شود.

بدافزار officepackage در سایت SourceForge - منبع: Kasppersky — بدافزار officepackage در سایت SourceForge – منبع: Kasppersky

کسپرسکی اعلام کرد زنجیره آلوده‌سازی این بدافزار شامل ارسال اطلاعاتی از دستگاه آلوده‌شده از جمله آدرس IP، کشور و نام کاربری به هکرها از طریق پیام‌رسان تلگرام است.

این بدافزار همچنین می‌تواند سیستم آلوده را برای بررسی وجود نسخه‌های قبلی نصب‌شده یا نرم‌افزارهای ضدویروس اسکن کرده و در صورت تشخیص، خودش را حذف کند.

مهاجمان می‌توانند دسترسی به سیستم را به دیگران بفروشند

تحلیل‌گران کسپرسکی اعلام کرده‌اند که برخی از فایل‌های موجود در این دانلود جعلی بسیار کوچک هستند که همین موضوع می‌تواند یک «زنگ خطر» باشد؛ زیرا فایل‌های مربوط به برنامه‌های آفیس، حتی وقتی فشرده‌سازی شده باشند نیز این‌قدر کوچک نیستند.

برخی دیگر از فایل‌ها نیز با داده‌های بی‌ارزش پر شده‌اند تا کاربران تصور کنند با یک نصب‌کننده واقعی نرم‌افزاری طرف هستند. این شرکت اعلام کرد مهاجمان با روش‌های متعدد، از جمله روش‌های غیرمتعارف، دسترسی به سیستم آلوده را حفظ می‌کنند.

تیم کسپرسکی گفت:

این حمله عمدتا دارایی‌های دیجیتال را هدف قرار می‌دهد و از یک ماینر و ClipBanker استفاده می‌کند؛ اما مهاجمان می‌توانند دسترسی به این سیستم آلوده را به بازیگران خطرناک‌تر نیز بفروشند.

رابط کاربری این بدافزار به زبان روسی است و کسپرسکی گمان می‌کند که کاربران روس‌زبان را هدف گرفته باشد. در این گزارش آمده:

حدود ۹۰٪ از قربانیان احتمالی در روسیه هستند؛ جایی که ۴٬۶۰۴ کاربر بین اوایل ژانویه (دی ۱۴۰۳) تا اواخر مارس (اسفند ۱۴۰۳) با این طرح مواجه شده‌اند.

کسپرسکی توصیه کرده که برای جلوگیری از قربانی شدن، نرم‌افزارها را فقط از منابع قابل‌اعتماد دانلود کنید؛ چرا که برنامه‌های کرک‌شده و گزینه‌های دانلود جایگزین خطرات بیشتری دارند. این شرکت گفت:

توزیع بدافزار با ظاهر نرم‌افزارهای کرک‌شده موضوع جدیدی نیست. از آنجا که کاربران به‌دنبال راه‌هایی برای دانلود اپلیکیشن‌ها خارج از منابع رسمی هستند، مهاجمان هم سایت‌های خود را عرضه می‌کنند. آن‌ها مدام به دنبال راه‌های جدیدی هستند تا وب‌سایت‌هایشان را معتبر جلوه دهند.

شرکت‌های دیگر نیز اخیرا درباره شکل‌های جدید بدافزاری که کاربران کریپتو را هدف قرار می‌دهند هشدار داده‌اند.

به گفته شرکت Threat Fabric در گزارشی در تاریخ ۲۸ مارس (۸ فروردین)، خانواده جدیدی از بدافزار کشف شده که می‌تواند یک صفحه جعلی (Fake Overlay) را روی گوشی‌های اندرویدی اجرا کند و کاربر را فریب دهد تا عبارت بازیابی (Seed Phrase) کیف پول خود را وارد کند؛ در حالی که بدافزار در حال کنترل کامل دستگاه است.

منبع: CoinTelegraph