IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Downloader

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

هشدار نصب بدافزار توسط نسخه جعلی نصب کننده ویندوز 11

 takian.ir fake windows 11 installers 1

سیستم عامل جدید مایکروسافت با نام ویندوز 11، قرار است امسال به طور رسمی منتشر شود. قبل از انتشار رسمی، کلاهبرداران در حال توزیع بدافزارها و نرم افزارهای تبلیغاتی میباشند که شبیه ویندوز 11 هستند.

در گزارش کسپرسکی آمده است که بسیاری از کاربران برای بارگیری این نسخه ویندوز به منابع دیگر مراجعه می کنند که اغلب حاوی محتواهای متعلق به مجرمان سایبری است.

به نقل از آنتون ایوانف، معاون تحقیقات تهدید سایبری کمپانی کسپرسکی آورده شده است: "اگرچه مایکروسافت روند دانلود و نصب ویندوز 11 را در وب سایت رسمی خود به شکل کاملا ساده ارائه داده است، اما هنوز هم بسیاری از افراد برای دانلود این نرم افزار نصب ویندوز به سایر منابع نامعتبر مراجعه می کنند که اغلب حاوی محتواهایی از که به مجرمان سایبری تعلق دارد و لزوماً حاوی ویندوز 11 نیستند. ساده ترین راه فریب کاربران توسط مجرمان سایبری این است که وارد گزینه های مشابه اما اضافی شوید".

 

مجرمان سایبری چگونه کاربران را فریب می دهند؟
محققان کسپرسکی توضیح داده اند که یک فایل اجرایی به نام 86307_windows 11 build 21996.1 x64 + activator.exe وجود دارد که حجم این فایل تا حدود 1.75 گیگابایت میباشد. با توجه به نام این فایل، می توان حدس زد که این فایل حاوی ویندوز 11 است و همچنین در آن فایل دیگری وجود دارد که به طور خودکار ویندوز را فعال می نماید.

takian.ir fake windows 11 installers 2

این فایل همچنین شامل یک فایل DLL دیگر نیز میباشد که حاوی اطلاعات بی فایده زیادی است که باعث میشود مجموعه اینها به شکل یک نصب کننده معمولی به نظر برسد. با این کار برخی از نرم افزارهایی که توسط مجرمان پشتیبانی شده اند نصب می شوند؛ و با پذیرفتن توافق نامه، سپس یک بدافزار روی رایانه کاربر قربانی نصب می گردد.

بدافزار می تواند یک نرم افزار تبلیغاتی به نسبت بی ضرر باشد، که به عنوان یک ویروس شناخته نشود و یا جز تروجان های کامل، سرقت کننده گذرواژه ها، سواستفاده کننده و سایر موارد ناخوشایند طبقه بندی می شود. اما ویروس ها می توانند مشکلات بیشتری نیز ایجاد کنند و حذف آنها از دستگاه آلوده دشوار است.

 

ویندوز 11 را فقط از منابع رسمی دانلود کنید!
همانگونه که مایکروسافت توصیه کرده است: “ویندوز 11 را فقط از منابع رسمی دانلود کنید. تاکنون، ویندوز 11 به طور رسمی فقط برای شرکت کنندگان در برنامه Windows Insider Program در دسترس است که نیازمند ثبت نام کاربر میباشد. همچنین به دستگاهی نیاز دارید که ویندوز 10 آن، از قبل بر روی دستگاه نصب شده باشد”.

بنابراین به طور کلی، در این دست حملات، آگاهی کاربر باید افزایش یابد. مایکروسافت یک روش واحد و مشترک برای دانلود ویندوز 11 برای کاربران ارائه داده است و اگر اکنون کاربران نمی توانند وارد این روند شوند، بهتر است صبر کنند؛ تا اینکه اقدام به دانلود و نصب چیزی نمایند که میتواند رایانه شخصی را به خطر انداخته و بدافزاری را در دستگاه خود نصب کنند.

مایکروسافت به کاربران توصیه می کند از یک راه حل امنیتی قابل اعتماد استفاده کنند و هرگز آن را غیرفعال ننمایند. در نتیجه مجرمان سایبری نمی توانند از طریق مهندسی اجتماعی یا آسیب پذیری های موجود در سیستم ها، به دستگاه هایی که آماده برای اقدام به حمله اولیه هستند، دسترسی پیدا کنند.

هشدار: بدافزار Saint Bot، سارق جدید رمزهای کاربران

یک بدافزار دانلودر که پیش از این شناسایی نشده بود، و اقدام به حملات فیشینگ برای سرقت گواهی های کاربران و بارگیری سایر داده های مخرب میکند، به تازگی مشاهده شده است.

گفته می شود این بدافزار که "Saint Bot" نامیده می شود برای اولین بار در ژانویه 2021 وارد عمل شده و نشانه هایی از توسعه و بهینه سازی عملکرد مخرب آن نیز دیده شده است.

طبق گفته الکساندرا دونیک، تحلیلگر اطلاعات در مالوربایتز، "Saint Bot دانلود کننده ای است که به تازگی ظاهر شده و به آرامی روند رو به رشدی به خود گرفته است. همچنین دیده شده است که از طریق سرقت کنندگان اطلاعات (به عنوان مثال تائوروس استیلر) یا دیگر لودرها منتشر می شود، اما طراحی آن به شما امکان آن را می دهد که از آن برای توزیع و نشر هر نوع بدافزاری استفاده شود.

وی افزوده است: "علاوه بر اینها، Saint Bot از طیف گسترده ای از تکنیک هایی که هرچند بعضی از آنها بدیع نیستند، استفاده می کند؛ اما با توجه به ظاهر نسبتاً جدید آن، از سطح کارایی بالایی برخوردار است".

زنجیره آلودگی مورد تجزیه و تحلیل شرکت امنیتی سایبری با یک ایمیل فیشینگ حاوی یک فایل زیپ تعبیه شده ( با نام bitcoin.zip) که ادعا میکند کیف پول بیت کوین است، آغاز شده است. در حقیقت یک اسکریپت PowerShell است که تحت عنوان فایل میانبر .LNK قرار دارد. سپس این اسکریپت PowerShell بدافزار مرحله بعدی را که یک برنامه قابل اجرا با نام WindowsUpdate.exe است را بارگیری می کند، که به متعاقب خود باعث می شود دومین فایل قابل اجرا (InstallUtil.exe) که مسئولیت دانلود دو فایل اجرایی دیگر به نام های def.exe و putty.exe را بر عهده دارد، انجام بپذیرد.

takian.ir saint bot malware attack

 

در حالی که نسخه اول یک اسکریپت دسته ای است که مسئول غیرفعال کردن Windows Defender است، putty.exe حاوی حجم داده ای مخربی است که در نهایت به یک سرور command-and-control (C2) جهت بهره برداری اطلاعاتی بیشتر، متصل می شود.

سردرگمی و در هم پیچیدگی موجود در هر مرحله از آلودگی به بدافزار، همراه با تکنیک های ممانعت کننده از تجزیه، تحلیل و آنالیز توسط بدافزار، به اپراتورهای بدافزار امکان می دهد بدون جلب هرگونه توجه، از دستگاه هایی که این بدافزار روی آنها نصب شده است سوءاستفاده کنند.

علاوه بر انجام "بررسی های دفاع از خود" برای شناسایی وجود debugger یا یک محیط مجازی، Saint Bot به شکلی طراحی شده است که در رومانی و کشورهای مشترک المنافع (CIS)، شامل ارمنستان، بلاروس، قزاقستان، مولداوی، روسیه و اوکراین اجرا نشود.

لیست دستورات پشتیبانی شده توسط بدافزار شامل موارد زیر میباشد:

  • بارگیری و اجرای سایر داده های بازیابی شده از سرور C2
  • به روزرسانی بدافزار بات
  • حذف نصب بدافزار از دستگاه در معرض خطر

 

اگرچه این قابلیت ها بسیار کوچک به نظر می رسند، اما واقعیت این که Saint Bot به عنوان دانلود کننده سایر بدافزارها عمل می کند که طبیعتا آن را به اندازه کافی خطرناک می کند.

نکته جالب توجه اینکه داده های دریافتی، خود از فایل های میزبانی شده در Discord دریافت می شوند؛ در این تاکتیک که به طور فزاینده ای در میان مهاجمین سایبری و تهدیدکنندگان رایج شده است، از عملکردهای قانونی چنین سیستم عامل هایی برای ارتباطات C2 سوءاستفاده کرده، از محدودیت های امنیتی فرار می کنند و بدافزارها را وارد دستگاه مینمایند.

محققان از سیسکو تالوس در تحیلی در اوایل این هفته منتشر کردند اعلام نمودند: "وقتی فایل ها در Discord CDN بارگذاری و ذخیره می شوند، بدون نیاز به اینکه Discord نصب شده باشد یا خیر، می توان با استفاده از آدرس CDN کدگذاری شده توسط هر سیستم، به آنها دسترسی پیدا کرد". که این موضوع به طبع نرم افزارهایی مانند Discord و Slack را به اهدافی جذاب برای میزبانی محتواهای مخرب تبدیل کرده است.

الکساندرا دونیک اضافه کرد: "Saint Bot در اصل یک دانلود کننده دیگری است و به حد و اندازه SmokeLoader به تکامل نرسیده، اما کاملاً جدید است و در حال حاضر به طور فعال در حال توسعه میباشد. به نظر می رسد برنامه نویس آن از طراحی بدافزار آگاهی کامل دارد، که این نکته با  مشاهده طیف گسترده ای از تکنیک های به کار رفته قابل درک است. با این حال، تمام تکنیک های به کار رفته کاملاً شناخته شده و کاملاً استاندارد هستند و تاکنون خلاقیت زیادی از نشان نداده است".