مراقب نقشه‌های شیوع ویروس کرونا باشید! آن‌ها بدافزاری هستند که رایانه‌های شخصی را به‌منظور سرقت گذرواژه‌ها آلوده می‌کنند

مجرمان سایبری فعالیت خود را متوقف نمی‌کنند و از هر فرصتی برای طعمه کردن کاربران اینترنت استفاده می‌کنند. حتی گسترش فاجعه‌بار ویروس سارس، که منجر به بیماری COVID-19 شد، به فرصتی برای آن‌ها تبدیل شده است تا بدافزار منتشر کنند و یا حملات سایبری راه‌اندازی کنند. Reason Cybersecurity به‌تازگی یک گزارش تحلیل تهدید منتشر کرد که جزئیات حمله‌ی جدیدی را نشان می‌دهد که از افزایش اشتیاق کاربران اینترنت برای کسب اطلاعات درباره‌ی ویروس کرونا بهره می‌برد.

این حمله‌ی بدافزاری به‌طور خاص قصد دارد کسانی را که به دنبال نمایش گرافیکی انتشار ویروس کرونا در اینترنت هستند، هدف قرار دهد و آن‌ها را فریب ‌دهد تا برنامه‌ی مخربی را بارگیری و اجرا کنند که در ظاهر نقشه‌ی بارگیری‌شده از یک منبع قانونی برخط را نشان می‌دهد، اما در پس‌زمینه رایانه‌ی کاربر را در معرض خطر قرار می‌دهد. آخرین تهدیدی که برای سرقت اطلاعات از قربانیان ناآگاه طراحی شده بود، اولین بار توسط MalwareHunterTeam مشاهده شد و درحال‌حاضر توسط یک پژوهش‌گر امنیت سایبری در Reason Labs تجزیه و تحلیل شد.

این تهدید شامل بدافزاری به نام AZORult، یک نرم‌افزار مخرب سرقت اطلاعات، است که در سال ۲۰۱۶ میلادی کشف شد. بدافزار AZORult اطلاعات ذخیره‌شده در مرورگرهای وب، به‌خصوص کوکی‌ها، تاریخچه‌ی مرور، شناسه‌های کاربر، گذرواژه‌ها و حتی کلیدهای رمزارز را جمع‌آوری می‌کند.

با این داده‌های جمع‌آوری‌شده از مرورگرها، این امکان برای مجرمان سایبری وجود دارد که شماره کارت‌ها، گواهی‌نامه‌های ورود و اطلاعات حساس دیگری را به سرقت ببرند. AZORult در انجمن‌های مخفی روسیه به‌عنوان ابزاری برای جمع‌آوری داده از رایانه‌ها مورد بحث قرار گرفته است و یک نسخه‌ای از آن وجود دارد که قادر به ایجاد یک حساب مدیر مخفی در رایانه‌های آلوده است تا اتصال از طریق remote desktop protocol را فراهم می‌کند.

Alfasi پس از مطالعه‌ی این بدافزار که در فایلی با نام Corona-virus-Map.com.exe گنجانده شده است، جزئیات فنی را منتشر می‌کند. این فایل یک فایل اجرای win32 کوچک با سایزی حدود ۳.۲۶ مگابایت است.

با دو بار کلیک روی فایل پنجره‌ای باز می‌شود که اطلاعات مختلفی درباره‌ی انتشار ویروس کرونا نشان می‌دهد. بخش اصلی آن یک نقشه‌ی آلودگی مشابه نقشه‌ای است که توسط دانشگاه جان هاپکینز، یکی از منابع معتبر آنلاین برای تصویرسازی و ردیابی موارد ابتلا به ویروس کرونا در زمان واقعی، میزبانی می‌شود.

تعداد موارد تأییدشده در کشورهای مختلف در سمت چپ و تعداد مرگ و میر و بهبودی در سمت راست نمایش داده شده است. این پنجره به نظر می‌رسد که تعاملی است و دارای زبانه‌هایی برای اطلاعات مرتبط دیگر و پیوند به منابع است.

این نقشه یک رابط گرافیکی کاربری متقاعدکننده نشان می‌دهد که بسیاری از کاربران گمان نمی‌کنند که مخرب باشد. اطلاعات نمایش داده شده ترکیبی از داده‌های تصادفی نیست، بلکه اطلاعات واقعی ویروس کرونا است که از وب‌گاه جان هاپکینز جمع‌آوری شده است.

لازم به ذکر است که نقشه‌ی اصلی ویروس کرونا که به‌صورت آنلاین توسط دانشگاه جان هاپکینز یا ArcGIS میزبانی می‌شود، به هیچ وجه آلوده نیست و بازدید از آن‌ها بی‌خطر است. این نرم‌افزار مخرب از برخی لایه‌های بسته‌بندی به‌همراه یک روش چند زیرفرآیندی استفاده می‌کند تا شناسایی و تجزیه و تحلیل آن را برای پژوهش‌گران چالش‌برانگیز کند. علاوه‌برآن، از یک زمان‌بندی وظایف استفاده می‌کند و درنتیجه می‌تواند به فعالیت خود ادامه دهد.

اجرای فایل Corona-virus-Map.com.exe منجر به ایجاد کپی‌هایی از فایل Corona-virus-Map.com.exe و چند فایل دیگر شامل Corona.exe، Bin.exe، Build.exe و Windows.Globalization.Fontgroups.exe  می‌شود. اجرای این بدافزار فرآیندهای Bin.exe، Windows.Globalization.Fontgroups.exe و Corona-virus-Map.com.exe را فعال می‌کند.

Alfasi در یک پست وبلاگی شرح مفصلی درباره‌ی این بدافزار ارائه داد. یکی از جزئیات برجسته، تجزیه و تحلیل او از فرآیند Bin.exe با Ollydbg است. این فرآیند چند کتابخانه‌ی لینک پویا (DLL) نوشته بود. فایل nss3.dll توجه او را به خود جلب کرد، زیرا از طریق عامل‌های مختلف از آن مطلع شده بود. Alfasi بارگذاری استاتیک رابط‌های برنامه‌نویسی مرتبط با nss3.dll را مشاهده کرد. ظاهراً این رابط‌های برنامه‌نویسی، رمزگشایی گذرواژه‌های ذخیره‌شده و تولید داده‌ی خروجی را تسهیل می‌کردند.

این یک رویکرد رایج است که توسط سارقان داده استفاده می‌شود و به‌سادگی تنها داده‌های ورود را از مرورگر وب آلوده می‌گیرد و آن را به پوشه‌ی C:/Windows\Temp منتقل می‌کند. این یکی از ویژگی‌های بارز حمله‌ی AZORult است که در آن بدافزار داده‌ها را استخراج می‌کند، یک شناسه‌ی منحصر به فرد برای رایانه‌ی آلوده ایجاد می‌کند، رمزنگاری XOR را اعمال می‌کند و سپس ارتباط C2 را آغاز می‌کند.

این بدافزار با هدف سرقت داده‌های ورود از حساب‌های آنلاین مانند تلگرام و Steam تماس‌های خاصی برقرار می‌کند. اجرای بدافزار تنها اقدامی است که برای انجام فرآیندهای سرقت اطلاعات لازم است. قربانیان نیازی به تعامل با این پنجره یا وارد کردن اطلاعات حساس در آن ندارند. Alfasi نرم‌افزار Reason Antivirus را به‌عنوان راه‌حلی برای رفع مشکل دستگاه‌های آلوده و جلوگیری از حملات ارائه می‌دهد که به هر حال به Reason Security وابسته است. Reason اولین شرکتی است که این تهدید جدید را کشف کرد، درنتیجه بهتر می‌تواند آن را کنترل و مدیریت کند.

احتمالاً سایر شرکت‌های امنیتی از این تهدید اطلاع داشتند، زیرا Reason  آن را در ۹ مارس به‌طور عمومی افشا کرد. نرم‌افزارهای ضد بدافزار یا ابزارهای محافظت در برابر بدافزار آن‌ها از زمان افشای این تهدید به‌روزرسانی شده است. به این ترتیب، ممکن است آن‌ها قادر به شناسایی و جلوگیری از این تهدید جدید باشند.

نکته‌ی مهم برای از بین بردن و متوقف کردن بدافزار فرصت‌طلبانه‌ی coronavirus map داشتن سیستم محافظت در برابر بدافزار مناسب است. شناسایی آن به‌طور دستی و از بین بردن آلودگی بدون ابزار نرم‌افزاری مناسب چالش‌برانگیز خواهد بود. ممکن است احتیاط در بارگیری و اجرای فایل‌ها از اینترنت کافی نباشد، زیرا امروزه بسیاری از افراد تمایل دارند به اطلاعات مربوط به ویروس کرونا دسترسی پیدا کنند.

مجرمان سایبری فعالیت خود را متوقف نمی‌کنند و از هر فرصتی برای طعمه کردن کاربران اینترنت استفاده می‌کنند. حتی گسترش فاجعه‌بار ویروس سارس، که منجر به بیماری COVID-19 شد، به فرصتی برای آن‌ها تبدیل شده است تا بدافزار منتشر کنند و یا حملات سایبری راه‌اندازی کنند. Reason Cybersecurity به‌تازگی یک گزارش تحلیل تهدید منتشر کرد که جزئیات حمله‌ی جدیدی را نشان می‌دهد که از افزایش اشتیاق کاربران اینترنت برای کسب اطلاعات درباره‌ی ویروس کرونا بهره می‌برد.

این حمله‌ی بدافزاری به‌طور خاص قصد دارد کسانی را که به دنبال نمایش گرافیکی انتشار ویروس کرونا در اینترنت هستند، هدف قرار دهد و آن‌ها را فریب ‌دهد تا برنامه‌ی مخربی را بارگیری و اجرا کنند که در ظاهر نقشه‌ی بارگیری‌شده از یک منبع قانونی برخط را نشان می‌دهد، اما در پس‌زمینه رایانه‌ی کاربر را در معرض خطر قرار می‌دهد. آخرین تهدیدی که برای سرقت اطلاعات از قربانیان ناآگاه طراحی شده بود، اولین بار توسط MalwareHunterTeam مشاهده شد و درحال‌حاضر توسط یک پژوهش‌گر امنیت سایبری در Reason Labs تجزیه و تحلیل شد.

این تهدید شامل بدافزاری به نام AZORult، یک نرم‌افزار مخرب سرقت اطلاعات، است که در سال ۲۰۱۶ میلادی کشف شد. بدافزار AZORult اطلاعات ذخیره‌شده در مرورگرهای وب، به‌خصوص کوکی‌ها، تاریخچه‌ی مرور، شناسه‌های کاربر، گذرواژه‌ها و حتی کلیدهای رمزارز را جمع‌آوری می‌کند.

با این داده‌های جمع‌آوری‌شده از مرورگرها، این امکان برای مجرمان سایبری وجود دارد که شماره کارت‌ها، گواهی‌نامه‌های ورود و اطلاعات حساس دیگری را به سرقت ببرند. AZORult در انجمن‌های مخفی روسیه به‌عنوان ابزاری برای جمع‌آوری داده از رایانه‌ها مورد بحث قرار گرفته است و یک نسخه‌ای از آن وجود دارد که قادر به ایجاد یک حساب مدیر مخفی در رایانه‌های آلوده است تا اتصال از طریق remote desktop protocol را فراهم می‌کند.

Alfasi پس از مطالعه‌ی این بدافزار که در فایلی با نام Corona-virus-Map.com.exe گنجانده شده است، جزئیات فنی را منتشر می‌کند. این فایل یک فایل اجرای win32 کوچک با سایزی حدود ۳.۲۶ مگابایت است.

با دو بار کلیک روی فایل پنجره‌ای باز می‌شود که اطلاعات مختلفی درباره‌ی انتشار ویروس کرونا نشان می‌دهد. بخش اصلی آن یک نقشه‌ی آلودگی مشابه نقشه‌ای است که توسط دانشگاه جان هاپکینز، یکی از منابع معتبر آنلاین برای تصویرسازی و ردیابی موارد ابتلا به ویروس کرونا در زمان واقعی، میزبانی می‌شود.

تعداد موارد تأییدشده در کشورهای مختلف در سمت چپ و تعداد مرگ و میر و بهبودی در سمت راست نمایش داده شده است. این پنجره به نظر می‌رسد که تعاملی است و دارای زبانه‌هایی برای اطلاعات مرتبط دیگر و پیوند به منابع است.

این نقشه یک رابط گرافیکی کاربری متقاعدکننده نشان می‌دهد که بسیاری از کاربران گمان نمی‌کنند که مخرب باشد. اطلاعات نمایش داده شده ترکیبی از داده‌های تصادفی نیست، بلکه اطلاعات واقعی ویروس کرونا است که از وب‌گاه جان هاپکینز جمع‌آوری شده است.

لازم به ذکر است که نقشه‌ی اصلی ویروس کرونا که به‌صورت آنلاین توسط دانشگاه جان هاپکینز یا ArcGIS میزبانی می‌شود، به هیچ وجه آلوده نیست و بازدید از آن‌ها بی‌خطر است. این نرم‌افزار مخرب از برخی لایه‌های بسته‌بندی به‌همراه یک روش چند زیرفرآیندی استفاده می‌کند تا شناسایی و تجزیه و تحلیل آن را برای پژوهش‌گران چالش‌برانگیز کند. علاوه‌برآن، از یک زمان‌بندی وظایف استفاده می‌کند و درنتیجه می‌تواند به فعالیت خود ادامه دهد.

اجرای فایل Corona-virus-Map.com.exe منجر به ایجاد کپی‌هایی از فایل Corona-virus-Map.com.exe و چند فایل دیگر شامل Corona.exe، Bin.exe، Build.exe و Windows.Globalization.Fontgroups.exe  می‌شود. اجرای این بدافزار فرآیندهای Bin.exe، Windows.Globalization.Fontgroups.exe و Corona-virus-Map.com.exe را فعال می‌کند.

Alfasi در یک پست وبلاگی شرح مفصلی درباره‌ی این بدافزار ارائه داد. یکی از جزئیات برجسته، تجزیه و تحلیل او از فرآیند Bin.exe با Ollydbg است. این فرآیند چند کتابخانه‌ی لینک پویا (DLL) نوشته بود. فایل nss3.dll توجه او را به خود جلب کرد، زیرا از طریق عامل‌های مختلف از آن مطلع شده بود. Alfasi بارگذاری استاتیک رابط‌های برنامه‌نویسی مرتبط با nss3.dll را مشاهده کرد. ظاهراً این رابط‌های برنامه‌نویسی، رمزگشایی گذرواژه‌های ذخیره‌شده و تولید داده‌ی خروجی را تسهیل می‌کردند.

این یک رویکرد رایج است که توسط سارقان داده استفاده می‌شود و به‌سادگی تنها داده‌های ورود را از مرورگر وب آلوده می‌گیرد و آن را به پوشه‌ی C:/Windows\Temp منتقل می‌کند. این یکی از ویژگی‌های بارز حمله‌ی AZORult است که در آن بدافزار داده‌ها را استخراج می‌کند، یک شناسه‌ی منحصر به فرد برای رایانه‌ی آلوده ایجاد می‌کند، رمزنگاری XOR را اعمال می‌کند و سپس ارتباط C2 را آغاز می‌کند.

این بدافزار با هدف سرقت داده‌های ورود از حساب‌های آنلاین مانند تلگرام و Steam تماس‌های خاصی برقرار می‌کند. اجرای بدافزار تنها اقدامی است که برای انجام فرآیندهای سرقت اطلاعات لازم است. قربانیان نیازی به تعامل با این پنجره یا وارد کردن اطلاعات حساس در آن ندارند. Alfasi نرم‌افزار Reason Antivirus را به‌عنوان راه‌حلی برای رفع مشکل دستگاه‌های آلوده و جلوگیری از حملات ارائه می‌دهد که به هر حال به Reason Security وابسته است. Reason اولین شرکتی است که این تهدید جدید را کشف کرد، درنتیجه بهتر می‌تواند آن را کنترل و مدیریت کند.

احتمالاً سایر شرکت‌های امنیتی از این تهدید اطلاع داشتند، زیرا Reason  آن را در ۹ مارس به‌طور عمومی افشا کرد. نرم‌افزارهای ضد بدافزار یا ابزارهای محافظت در برابر بدافزار آن‌ها از زمان افشای این تهدید به‌روزرسانی شده است. به این ترتیب، ممکن است آن‌ها قادر به شناسایی و جلوگیری از این تهدید جدید باشند.

نکته‌ی مهم برای از بین بردن و متوقف کردن بدافزار فرصت‌طلبانه‌ی coronavirus map داشتن سیستم محافظت در برابر بدافزار مناسب است. شناسایی آن به‌طور دستی و از بین بردن آلودگی بدون ابزار نرم‌افزاری مناسب چالش‌برانگیز خواهد بود. ممکن است احتیاط در بارگیری و اجرای فایل‌ها از اینترنت کافی نباشد، زیرا امروزه بسیاری از افراد تمایل دارند به اطلاعات مربوط به ویروس کرونا دسترسی پیدا کنند.

انتشار همه‌گیر ویروس کرونا مستلزم احتیاط حداکثری به‌صورت آنلاین و آفلاین است. مهاجمان سایبری از محبوبیت منابع مرتبط با ویروس کرونا در وب بهره‌برداری می‌کنند و احتمالاً بسیاری از آن‌ها در معرض حمله قرار خواهند گرفت.

انتشار همه‌گیر ویروس کرونا مستلزم احتیاط حداکثری به‌صورت آنلاین و آفلاین است. مهاجمان سایبری از محبوبیت منابع مرتبط با ویروس کرونا در وب بهره‌برداری می‌کنند و احتمالاً بسیاری از آن‌ها در معرض حمله قرار خواهند گرفت.

منبع

پست‌های مشابه

Leave a Comment