شماره چهارم خبرنامه دیدهبان
۱۲ ارديبهشت ۱۴۰۳ - ۲۲:۳۳
اگر از کاربران فیسبوک هستید و بر روی لینک Ow.ly کلیک کردهاید، احتمالاً رایانه شما بهوسیله یک کرم آلودهشده است.
این لینک توسط هکرها بهوسیله ارسال یک پست منتشر میشود. این پست بر روی
آن نوشته، شما را به یک وبسایت با محتوای مستهجن هدایت میکند. پست
موردنظر توسط تعداد زیادی از مهمترین شبکههای اجتماعی مانند Twitter و
Facebook به اشتراک گذاشته میشود.
نگاهی عمیقتر به ماجرا
به نظر میرسد این کرم که از خانواده کیلیم (Kilim) باشد. پس از آلوده کردن رایانه کاربر، کرم موردنظر پست مربوطه را بهتمامی کاربرانی که در لیست تماسهای کاربر و گروهایی که کاربر قربانی در آنها عضو است، میفرستد. بر گفته محقق امنیتی، جروم سگورا (Jerome Segura)، کیلیم از طریق نصب یک افزونه بدافزار بر روی مرورگر گوگل کروم به شبکههای رسانهها ضربه میزند. سگورا افزود که این بدافزار به هکرها اجازه میدهد که بهآسانی پیامها را منتشر کنند و همچنین به هکرها اجازه میدهد که کاربران را تعقیب کنند و برای آنها پیامهای مستقیم بفرستند. بر اساس اطلاعات سگورا حمله موردنظر مرورگر کروم را موردحمله قرار داده و هدفش این است که تا میتواند کاربران بیشتری را آلوده کند تا یک شبکه عظیم باتنت را که شامل پروفایلهای شبکههای اجتماعی است (از رایانههای قربانیان) ایجاد کند و در راههای مختلفی استفاده کند، راههایی از قبیل فروش دوستان فیسبوکی و لایکهای فیسبوکی، فروش لیست دوستان کاربران توییتر کسب درآمد از طریق کلیک کردن بر روی لینک سایتهای تجاری (توسط رایانههای آلودهشده بهصورت ناخواسته و ناآگاهانه).
سگورا میگوید که هکرها از یک سیستم هدایتکننده چندلایه استفاده میکنند، سامانهای که خدمات ابری را کنترل میکند. سگورا همچنین افزود که هکرها ممکن است که از روشی مشابه (روشی که برای کنترل خدمات ابری استفاده میکنند) برای تشخیص اینکه بدافزارها دقیقاً چگونه جریان اطلاعات را هدایت میکند استفاده کنند.
در مورد لینک Ow.ly
زمانی که کاربر فیسبوک بر روی لینک Ow.ly (لینکی که انتظار میرود شما را به وب سایتهای مستهجن خاص ببرد) کلیک میکند، لینک موردنظر کاربر را فوراً به صفحه خدمات وب آمازون (Amazon Web Services page) هدایت میکند. پسازآن کاربر به وبسایت باکس (Box) هدایت میشود. کار این وبسایت بازرسی رایانه کاربر است. پسازآن پیغام دانلود یک نرمافزار به کاربر نمایش داده میشود. پس از دانلود، رایانه کاربر به کرم موردنظر آلوده میشود. سپس، کرم موردنظر به لیست تماسهای کاربر فیسبوک فرستاده میشود.
سگورا توضیح جامع و کامل در مورد روش کار این بدافزار را در مطلب خود بیان کرده است. او میگوید: "این پیشنهادها معمولاً نرمافزارها و نظرسنجیهای جعلی هستند. فایل کرم موردنظر که توسط وبسایت باکس میزبانی میشود درواقع یک نسخه کوتاه شده از نسخه اصلی و کامل برنامه است. قطعات تکمیلی کرم نیز باید دانلود شود. کوتاه کردن برنامه برای فرار از بازرسیهای اولیه انجام میشود. همچنین این کار به هکرها این امکان را میدهد که ماژولها را بر روی سرور بهروزرسانی کنند، بنابراین فایل کوتاه شده برنامه همواره میتواند جدیدترین نسخه ماژولها را دانلود کند. بعدازاینکه تمام ماژولها دانلود شدند کرم موردنظر بر روی رایانه کاربر نصبشده و منتظر ورود کاربر به صفحه فیسبوک میشود. همچنین کاربرانی که از طریق تلفن هوشمند خود بر روی لینک موردنظر کلیک میکنند یک صفحه بر اساس زبان و منطقه جغرافیایی به آنها پیشنهاد میشود.
هردو شرکت فیسبوک و باکس از حمله و تهدید موردنظر آگاه هستند. برای رسیدگی به این مشکل؛ وبسایت باکس امکانات به اشتراکگذاری خود را حذف کرده است و فایلهای حسابهای آلوده به بدافزار را حذف کرده است و مرتباً در حال چک کردن برای یافتن کرم است.
بالعکس، فیسبوک در حال همکاری با شرکتهایی است که موردحمله هکرها قرارگرفتهاند. همچنین فیسبوک تمامی لینک مرتبط را مسدود کرده و از انتشار ویروس بر روی پلتفرم خود جلوگیری به عملآورده است.
نگاهی عمیقتر به ماجرا
به نظر میرسد این کرم که از خانواده کیلیم (Kilim) باشد. پس از آلوده کردن رایانه کاربر، کرم موردنظر پست مربوطه را بهتمامی کاربرانی که در لیست تماسهای کاربر و گروهایی که کاربر قربانی در آنها عضو است، میفرستد. بر گفته محقق امنیتی، جروم سگورا (Jerome Segura)، کیلیم از طریق نصب یک افزونه بدافزار بر روی مرورگر گوگل کروم به شبکههای رسانهها ضربه میزند. سگورا افزود که این بدافزار به هکرها اجازه میدهد که بهآسانی پیامها را منتشر کنند و همچنین به هکرها اجازه میدهد که کاربران را تعقیب کنند و برای آنها پیامهای مستقیم بفرستند. بر اساس اطلاعات سگورا حمله موردنظر مرورگر کروم را موردحمله قرار داده و هدفش این است که تا میتواند کاربران بیشتری را آلوده کند تا یک شبکه عظیم باتنت را که شامل پروفایلهای شبکههای اجتماعی است (از رایانههای قربانیان) ایجاد کند و در راههای مختلفی استفاده کند، راههایی از قبیل فروش دوستان فیسبوکی و لایکهای فیسبوکی، فروش لیست دوستان کاربران توییتر کسب درآمد از طریق کلیک کردن بر روی لینک سایتهای تجاری (توسط رایانههای آلودهشده بهصورت ناخواسته و ناآگاهانه).
سگورا میگوید که هکرها از یک سیستم هدایتکننده چندلایه استفاده میکنند، سامانهای که خدمات ابری را کنترل میکند. سگورا همچنین افزود که هکرها ممکن است که از روشی مشابه (روشی که برای کنترل خدمات ابری استفاده میکنند) برای تشخیص اینکه بدافزارها دقیقاً چگونه جریان اطلاعات را هدایت میکند استفاده کنند.
در مورد لینک Ow.ly
زمانی که کاربر فیسبوک بر روی لینک Ow.ly (لینکی که انتظار میرود شما را به وب سایتهای مستهجن خاص ببرد) کلیک میکند، لینک موردنظر کاربر را فوراً به صفحه خدمات وب آمازون (Amazon Web Services page) هدایت میکند. پسازآن کاربر به وبسایت باکس (Box) هدایت میشود. کار این وبسایت بازرسی رایانه کاربر است. پسازآن پیغام دانلود یک نرمافزار به کاربر نمایش داده میشود. پس از دانلود، رایانه کاربر به کرم موردنظر آلوده میشود. سپس، کرم موردنظر به لیست تماسهای کاربر فیسبوک فرستاده میشود.
سگورا توضیح جامع و کامل در مورد روش کار این بدافزار را در مطلب خود بیان کرده است. او میگوید: "این پیشنهادها معمولاً نرمافزارها و نظرسنجیهای جعلی هستند. فایل کرم موردنظر که توسط وبسایت باکس میزبانی میشود درواقع یک نسخه کوتاه شده از نسخه اصلی و کامل برنامه است. قطعات تکمیلی کرم نیز باید دانلود شود. کوتاه کردن برنامه برای فرار از بازرسیهای اولیه انجام میشود. همچنین این کار به هکرها این امکان را میدهد که ماژولها را بر روی سرور بهروزرسانی کنند، بنابراین فایل کوتاه شده برنامه همواره میتواند جدیدترین نسخه ماژولها را دانلود کند. بعدازاینکه تمام ماژولها دانلود شدند کرم موردنظر بر روی رایانه کاربر نصبشده و منتظر ورود کاربر به صفحه فیسبوک میشود. همچنین کاربرانی که از طریق تلفن هوشمند خود بر روی لینک موردنظر کلیک میکنند یک صفحه بر اساس زبان و منطقه جغرافیایی به آنها پیشنهاد میشود.
هردو شرکت فیسبوک و باکس از حمله و تهدید موردنظر آگاه هستند. برای رسیدگی به این مشکل؛ وبسایت باکس امکانات به اشتراکگذاری خود را حذف کرده است و فایلهای حسابهای آلوده به بدافزار را حذف کرده است و مرتباً در حال چک کردن برای یافتن کرم است.
بالعکس، فیسبوک در حال همکاری با شرکتهایی است که موردحمله هکرها قرارگرفتهاند. همچنین فیسبوک تمامی لینک مرتبط را مسدود کرده و از انتشار ویروس بر روی پلتفرم خود جلوگیری به عملآورده است.
مهمترین راهکار نهادینه سازی الزامات و ضوابط پدافند غیرعامل در دستگاههای اجرایی را چه می دانید؟!
شماره سوم خبرنامه دیده بان
۰۶ ارديبهشت ۱۴۰۳ - ۱۲:۰۵
شماره دوم خبرنامه دیده بان
۰۱ ارديبهشت ۱۴۰۳ - ۲۳:۳۵
شماره اول خبرنامه دیده بان
۲۱ فروردين ۱۴۰۳ - ۲۳:۴۲