اپلیکیشن های پیام رسانی علاوه بر اینکه وسیله ای برای برقراری ارتباط هستند راهی برای مزاحمین هم فراهم میکنند تا از طریق آن به زندگی ما نفوذ کنند.
انگار همین دیروز بود که درباره ی بدافزار skygofree در اندروید اطلاع رسانی شد که برای جاسوسی در سیستم پیام رسان فیسبوک، اسکایپ، وایبر، واتس اپ و دیگر برنامه ها ساخته شده بود. امروز در مورد آلوده کننده چند منظوره ی جدید که توسط متخصصان کشف شده صحبت می کنیم.
این بدافزار کامپیوتر های دسکتاپ را مورد هدف قرار میدهد و از طریق تلگرام به روش هوشمندانه ای منتشر می شود.
در این مقاله توضیح عمیق تری از این بدافزار و نحوه کاراریی آن می پردازیم.

بدافزاری در پوشش عکسِ گربه!

و هدف اصلی سازندگان آن این است که کاربران را متقاعد کنند که این بدافزار را اجرا کنند و برای این کار آنها از مجموعه ای از ترفند ها استفاده میکنند تا بتوانند فایل های مخرب را زیرکانه و با پوشش به صورت فایل های بی خطر نشان دهند
برای فهمیدن این ترفند باید بدانیم که بعضی از زبان ها مانند عربی، عبری و…(فارسی) و یونیکد آن ها, تمام استاندارد های محاسباتی و تقریبا تمامی حروف ها از راست به چپ نوشته می شود و این امر راهی برای جابجایی کلمات نوشته شده فراهم می کند و با استفاده از یک کاراکتر مخفی خاص که با رشته ای از حروف همراه است, به طور خودکار معکوس به نمایش در می آید.
هکرها در حمله ی اخیر از این امکان سواستفاده کردند.
فرض کنید یک مجرم اینترنتی فایل مخربی با نام Trojan.js بسازد همانطور که از پسوند فایل (js) پیداست فایل از نوع جاوا اسکریپت است و این فایل ممکن است شامل چند فایل اجرایی باشد.
یک کاربر محتاط بلافاصله شک میکند و فایل را اجرا نمی کند اما مهاجم می تواند نام فایل را برای مثال به photo_high-re*U+202E*gnp.js  تغییر دهد که برای کاربر مشکوک تر هم به نظر می رسد اما در اینجا  U+202E  کاراکتری از نوع یونیکد است که بعد از کلمات و نقطه گذاری ها از چپ به راست نشان داده می شود که نتیجه آن اینگونه است: photo_high-resj.png

عکس های شیطانی در تلگرام
حال به نظر میاید که پسوند فایل png است و مانند یک فایل عکس معمولی نمایش داده میشود در حالی که فایل تروجان جاوا اسکریپت است.
ترفند تغییر نام تروجان با استفاده از Unicode ترفند جدیدی نیست، در دهه ی اخیر پیش از این برای پوشش ایمیل های مخرب و فایل های دانلود از آن استفاده می شده و محیط های زیادی در برابر این بدافزار ایمن شده است، اما هنگامی که تلگرام برای اولین بار هدف حمله قرار گرفت کارساز واقع شد.
به عبارت دیگر تلگرام نقطه ضعف RLO(نادیده گرفتن راست به چپ) را داشت(Right-to-Left Override)، و این همان چیزی است که متخصصان ما مورد تحقیق قرار داده اند.

عکس گربه ای که به یک ماینر یا Backdoor تبدیل می شود

آسیب پذیری تنها در نسخه ی ویندوز این نرم افزار دیده شده نه نسخه ی موبایل آن.
متخصصان نه تنها وجود این بدافزار را در تلگرام شناسایی کردن بلکه متوجه شدند که مهاجمان به طور مکرر از آن استفاده میکنند.
سیستم عامل قربانیان باید هشداری مبنی بر باز شدن فایل اجرایی از منبع ناشناخته به کاربر(که معمولا با نشان دادن اخظار به نمایش در میاید) نشان دهد، اما بسیاری از کاربران بدون نگاه کردن به پیام سیستم عامل, فایل را اجرا میکنند.

عکس های شیطانی در تلگرام

اگر پنجره ای به این شکل نمایش داده شد هیچ کاری نکنید و فکر کنید، فقط دست نگه دارید!

به محض راه اندازی بدافزار در واقعیت عکس یک گربه بامزه را نشان میدهد تا نشانه های هشدار توسط سیستم را نشان ندهد.
این تروجان ها برای اهداف مختلف ساخته میشوند تا در پشت صحنه اجرا شوند که بسته به پیکر بندی آن انواع مختلف دارند، نمونه ی اول برای استخراج رمزارزها استفاده می شوند که با اجرا کردن آن سرعت کامپیوتر پایین میاید, سیستم داغ میکند و عمل استخراج رمزارز را برای مهاجمان انجام میدهد.

عکس های شیطانی در تلگرام

فلوچارت حمله و استخراج

نوع دوم “Backdoor” نام دارد که امکان کنترل از راه دور کامپیوتر توسط مهاجمان را فراهم میکند و آنها هر کاری از جمله از بین بردن یا نصب کردن یک برنامه و یا جمع آوری اطلاعات شخصی کاربر را انجام می دهند و این نوع میتواند برای مدت زمان زیادی مخفی بماند بدون اینکه کاربر به چیزی شک کند.

عکس های شیطانی در تلگرام

فلوچارت حمله و Backdoor

آرامش خودت رو حفظ کن و ادامه بده

محققان فورا این نقطه ضعف را به توسعه دهندگان تلگرام گزارش دادند و آنها مشکل را حل کردند(که ظاهرا باعث ناراحتی مهاجمان شد) گرچه این امر به این معنی نیست که تلگرام و سایر اپ های پیام رسانی نقطه ضعف دیگری ندارند واین فقط به این معناست که تا به حال گزارشی اعلام نشده است.
پس برای ایمن سازی دربرابر آفت هایی اینچنینی کافیست از چند قانون ساده امنیتی پیروی کنیم و این قوانین در شبکه های اجتماعی, پیام رسان ها و یا هر وسیله ی ارتباطات الکتریکی صدق می کند:

  1. فایل هایی که از منبع های خطرناک و ناشناس هستند را دانلود و یا باز نکنید. اگر شخص ناشناسی برای شما عکسی ارسال کرد قبل از اینکه آن را باز کنید چند بار به  اتفاقات تذکر داده شده فکر کنید.

  2. اگر قبل از باز شدن فایل هشداری از طرف سیستم دریافت کردید, قبل از باز کردن در نظر بگیرید که توضیحات فایل باید با خود فایل هماهنگ باشد.

  3. از یک راه حل امنیتی مانند نصب آنتی ویروس کسپرسکی برای تشخیص فایل های مخرب مخفی شده مانند عکس در هنگام دانلود آن یا اجرای آن است کمک بگیرید و از کامپیوتر خود در برابر این قبیل آلودگی ها محافظت کنید.

 

آیا تجربه ای در این زمینه دارید؟ شما تا چه حد در دنیای دیجیتال به امنیت خود اهمیت میدهید؟ با توجه به شتاب روز افزون صنعت رمزارزها تا چه حد نیاز به حفظ امنیت توسط آنتی ویروس های معتبر وجود دارد؟ نظرات و ایده های خود را با ما در میان بگذارید.

 

 

منبع: kaspersky

منبع ترجمه فارسی: ارزدیجیتال
ویرایش مجدد: آتادپی Atadpay

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Fill out this field
Fill out this field
لطفاً یک نشانی ایمیل معتبر بنویسید.

فهرست