روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ محصولات کسپرسکی موفق به شناسایی نرم‌افزارهای خاصی به نام هوکس[1] شدند. در این خبر قصد داریم شما را با هوکس آشنا کرده و به این بپردازیم که هوکس‌ها اساساً از چه خاستگاهی می‌آیند و چرا «نشانِ خطرناک» بر پیشانی‌شان مهر شده است.

از سال گذشته هوکس‌ها بسیار خطرساز شده‌اند

دلیل نوشتن این مقاله افزایش تعداد هوکس‌های شناسایی‌شده است که مسئولیتش را محصولات ما بر گردن گرفته اند. از سال گذشته تعداد کاربرانی که با چنین نرم‌افزاری مواجه شده‌اند دو برابر شده است. به طور خلاصه، هر روز کاربران بیشتری در این محدوده‌ی خطر قرار می‌گیرند و این اصلاً خبر خوشایندی نیست. 

پس ارزشش را دارد که ضمن ارائه‌ی تاریخچه‌ای کوتاه کمی این مشکل را باز کرده و بدان بپردازیم. بسیاری از کاربران از بوت‌آپِ کُند کامپیوتر و مدت‌زمان استارت‌آپِ اپ‌ها گله می‌کنند... حتی آن‌ها از دست خطاهای سیستم نیز شاکی‌اند. این در حقیقت مشکلی است که هر کسی هر از چند گاهی با آن مواجه می‌شود. این اتفاق بدین دلیل می‌افتد که کامپیوتر حین عملیات به دام انواع مختلفی از داده‌ها می‌افتد که هر یک بر سرعت پردازش اثر سوء می‌گذارد.

تقاضا با خود عرضه را به همراه دارد؛ بنابراین برنامه‌هایی که وعده‌ی بالا بردن سرعت را در بخش استارت‌آپ می‌دهند نیز روز به روز در حال افزایش است. این نرم‌افزار اواخر دهه 2000 جان گرفت و از آن دوران به بعد همینطور به رشدش ادامه داد. برنامه‌های Cleanup عموماً به دنبال فایل‌های موقتی یا استفاده نشده، کلیدهای رجیستری، برنامه‌های استارت‌آپ و غیره گشته و کاربر را از وجود چنین «زباله‌های دیجیتالی[2]» مطلع می‌کند. حالا این دیگر دست کاربر است که تصمیم بگیرد بهتر است برنامه کامپیوتر را پاکسازی کند یا خیر. این کار، راندمان اجرایی سیستم را تا حد قابل‌ملاحظه‌ای ارتقا می‌بخشد. اما متأسفانه همه‌ی نرم‌افزارهایی که وعده‌ی تسریع/پاکسازی می‌‌دهند آنقدرها هم که به نظر می‌رسد بی‌خطر نیستند. از میان کلی توسعه‌دهنده‌ی صادق و باوجدان که برنامه‌هایی با هدف کمک به کاربر تولید می‌کنند هستند یک سری مجرمان سایبری که بخواهند از آب گل‌آلود ماهی بگیرند.

هوکس چیست؟

برخی برنامه‌های پاکسازی کامپیوتر و ارتقای عملکرد، کاربر را مجبور به پرداخت وجه (برای خلاص شدن از شر تهدیدهای به ظاهر شناسایی شده) می‌کنند. دو ویژگی کلیدی که می‌تواند کمک کند فرق بین توسعه‌دهندگان صادق و جعلی متوجه شوید عبارتند از:

• اول اینکه مجرم سایبری تعمداً با غلو کردن در مورد خطری که ظاهراً می‌خواهد کاربر را تهدید کند، او را گمراه می‌کند. حتی برای او خطاهایی گزارش می‌شود که در واقعیت هرگز وجود نداشته‌اند.  
• دوم اینکه، بیشتر از اینکه کارش دعوت کردن کاربر باشد، زور کردن است. مجرم سایبری به کاربر می‌گوید اگر پول پرداخت نکند خبری از حل مشکل نیست.

ما در کسپرسکی به چنین برنامه‌هایی می‌گوییم «هوکس»- نرم‌افزاری که از قصد کاربر را به بیراهه می‌کشاند. در زیر نمونه‌هایی را خواهید دید از هوکس‌هایی که محصولات کسپرسکی شناسایی‌شان کرده است:

• HEUR:Hoax.Win32.Uniblue.gen
• Hoax.Win32.PCFixer.gen
• Hoax.Win32.DeceptPCClean.*
• Hoax.Win32.PCRepair.*
• HEUR:Hoax.Win32.PCRepair.gen
• HEUR:Hoax.MSIL.Optimizer.gen
• Hoax.Win32.SpeedUpMyPC.gen

نحوه‌ی عملکرد هوکس

بعد از نصب، برنامه‌های هوکس یک اسکن سیستم به راه می‌اندازند. آن‌ها هر چیزی را که پاکسازهای قانونی انجام می‌دهند اسکن می‌کنند. بعد از اسکن، کاربر پنجره‌ای را حاوی اطلاعاتی از مشکلات شناسایی‌شده مشاهده می‌کند. مشکل عمده‌ی این گونه نرم‌افزار دقیقاً همین است. مدام به کاربر پیام‌های آزاردهنده در مورد تعداد زیادی (به ظاهر) خطای یافت‌شده در سیستم ارسال می‌شود. در ادامه مثالی را می‌بینید از یک پاکساز (cleaner) که در مورد مشکلات احتمالی مربوط به کلیدهای رجیستری غلو می‌کند.

و شاید این ابزار یک سری باگ واقعی هم پیدا کند اما بعد با لحنی فریب‌دهنده شروع می‌کند به اغراق در مورد میزان اهمیت آن. برای مثال، در این آپدیت‌گرِ درایور، وضعیت درایو از old تا ancient فرق دارد.

برخی برنامه‌ها بلافاصله وقتی کاربر روی حرف x کلیک می‌کند بسته نمی‌شوند؛ در عوض پنجره‌ی دیگری را نشان می‌دهند که در خود این پیام آزاردهنده‌ را دارد: «سطح خطر: بالا».

برنامه‌های هوکس همچنین دوست دارد خود را به اتوران (اجرای خودکار) اضافه کنند و سیلی از نوتیفیکیشن‌های پاپ‌آپ را بر سر کاربر بریزند. همه‌ی این نوتیفیکیشن‌ها هم فقط دارند از اینکه سیستم در خطر است حرف می‌زنند.

برنامه‌های هوکس تنها به اکوسیستم ویندوز محدود نمی‌شوند. در اینجا نمونه‌هایی داریم از یکی از هوکس‌های MacOS که در مورد استفاده‌ی لاگ/کش آن هم به طور غلوآمیزی گزارش کرده‌اند.

برای حل این مسئله، به کاربر گفته می‌شود نسخه‌ی کامل نرم‌افزار را دریافت کند. وقتی نسخه‌ی کامل خریداری شد، بسیاری از این برنامه‌ها موارد مضر را از کامپیوتر پاک می‌کنند اما در هر صورت (همانطور که پیشتر نیز اشاره شد) تأکیدشان روی این مسائل جزئی بیش از حد است. تازه برخی برنامه‌های هوکس شاید اصلاً کامپیوتر را پاکسازی نکنند. بنابراین، در بهترین سناریو کاربر برای مشکلی نه چندان بیخودی هزینه‌ی زیادی را پرداخت کرده و در بدترین سناریو نیز در ازای پولی که داده هیچ خدماتی نیز دریافت نکرده است.

دسته دسته آگهی‌افزار و شانس غلبه بر تروجان

برخی سازندگان کلاهبردار که پاکسازهای جعلی تولید می‌کنند حتی از گامی فراتر نهاده و علاوه بر هنر دست خود، برنامه‌های دیگر را نیز روی کامپیوتر کاربر نصب می‌کنند. البته این‌ها اغلب در قالب آگهی‌افزارند اما در برخی موارد می‌توانند تروجان نیز باشند. در چنین مواردی کامپیوتر کاربر می‌تواند تا حدی مسدود شود. برنامه‌ای که در زیر می‌بینید کل صفحه‌ی مانیتور را می‌گیرد و روی toolbar را نیز می‌پوشاند. سپس هر کاری کنید تا با فشار دادن Alt+Tab بین برنامه‌ها سوئیچ کنید یا با فشار دادن F11 به عقب برگردید نمی‌شود که نمی‌شود.

در ادامه، کاربر را مجبور می‌کنند تا برای آنبلاک کردن کامپیوتر خود کدی را وارد کنند (که البته این کد را خودشان ندارند) و یا برنامه‌هایی را برای دسترسی ریموت در اختیارشان قرار دهند (مانند TeamViewer،  AnyDesk یا هر برنامه‌ی دسترسی ریموت دیگر که آیکون‌هایش براحتی در سمت راست پنجره قرار می‌گیرد).

هوکس چطور به کامپیوتر رخنه می‌کند؟

مخاطبین اصلی توسعه دهندگان هوکس، کاربران خانگی کم‌تجربه است که آشنایی زیادی با سیستم‌عامل دستگاه‌ها ندارند و یا خیلی هم حواسشان به آپیت کردن سیستم و پاک کردن زباله‌های داخل سیستم‌شان نیست. وقتی روند کُند کامپیوتر رفته رفته علنی می‌شود، بسیاری از کاربران در فضای آنلاین شروع می‌کنند به گشتن دنبال راه‌حل. شاید اصلاً حتی اگر بی‌دقتی کننده یک اپ هوکس را نیز انتخاب کردند. اما همچنین روش توزیع دیگری نیز وجود دارد. یک هوکس برخی‌اوقات از طریق آفرهای تبلیغاتی یا وب‌پیج‌های اسکم توزیع می‌شود. آلودگی‌ای که بر پایه‌ی آگهی‌افزار باشد ممکن است چنین ظاهری داشته باشد:

شاید تا به حال وقتی دارید از وبسایت‌های مشکوک دیدن می‌کنید به پست صفحات جعلی که خدمات پاکسازی/تسریع ارائه می‌دهند خورده باشید. برای مثال، این صفحه نوتیفیکیشنی را نمایش می‌دهد که می‌گوید یک جاسوس افزار در کامپیوتر فرد شناسایی شده است.

معمولاً کاربر را مجبور می‌کنند یا با پشتیبانی فنی تماس گیرند (که اخاذی‌شان را به صورت شفاهی مطرح می‌کنند) و یا هوکس را دانلود کنند. به هیچ وجه به چنین صفحاتی اعتماد نکنید- فقط تا شک کردید فوراً صفحه را ببندید.

روش دیگر برای توزیع نرم‌افزار هوکس، نوتیفیکیشن‌هایی است که روی مرورگر پاپ‌آپ می‌شوند (همان هایی که برخی کاربران بدون تجدید نظر به آن‌ها تن می‌دهند). این روش البته چندان هم رایج نیست. هر کسی عملکرد هوکس را نمی‌دانند و خبر ندارند از چه خاستگاهی آمده است. حتی بلد نیستند این نرم‌افزار را غیرفعال کنند. برخی اوقات کاربران حتی نسبت به اینکه این نوتیفیکیشن‌ها روی مرورگرشان می‌آیند و هدفشان هم هدف کثیفی است نیز آگاه نیستند.

بعد از کلیک کردن روی چنین نوتیفیکیشن‌هایی، کاربران به صفحات تقبلی برده می شوند که خودشان را زیر پوششی از عوامل امنیتی پنهان کرده‌اند. در ادامه مثالی را می‌بینید از یک وبسایت کلاهبردار که رابط Windows Defender را شبیه‌سازی کرده است:

وقتی کاربر به حد کافی فریب خورد و قبول کرد کامپیوترش کلی نقص دارد، وقت آن است که به صفحه‌ی دانلود هوکس هدایت گردد.

جغرافیا و آمار پراکنگی هوکس

همانطور که در ابتدای این مقاله خدممتان عارض شدیم، اواخر سال 2018 بود که شاهد فعالیت پر سر و صدای این بازار شدیم. این فعالیت مثل صاعقه ای شروع کرده بود به غریدن و البته هنوز هم بر قوت خود باقی مانده. تعداد کاربران قربانی از شروع سال گذشته دو برابر شده است (و در پی آن فهرست شکایات نیز به مراتب بلند بالاتر شده است). 

آمار ما نشان می‌دهد کشوری که به جولانگاه هوکس تبدیل شده ژاپن است؛ جایی که در سال‌های گذشته از هر 8 کاربر یک نفر با این بلا مواجه شده بود. بعد از ژاپن، طعمه‌ی دوم آلمان و البته شاید تعجب کنید گزینه‌ی بعدی بلاروس است. در نهایت ایتالیا و برزیل نیز این فهرست 5 تایی را کامل می‌کنند. 

توسعه‌دهندگان آنتی‌ویروس سعی داشتند فعالیت این هوکس‌ها را متوقف کنند؛ حتی برخی از برنامه‌های جعلی نیز از بازار طرد شدند. در عوض، خیلی از توزیع‌کنندگان هوکس نیز دارند مدل توزیع (ارسال محتوای آزاردهنده) را ترک کرده و به مدل مؤدبانه‌تری روی می‌آورند. در هر صورت این چالش به این زودی‌ها تمام‌شدنی نیست.

چرا اپ‌های هوکس بد هستند؟

• سازندگان چنین نرم افزارهایی از عمد کاربران را با اغراق در مورد مشکلاتی که  شناسایی‌اش کرده‌اند و قرار است سیستم آن‌ها را آلوده کند گمراه می‌کنند. حتی از خطاهایی که هرگز بوجود نیامده‌اند نیز گزارش می‌دهند.
• چنین خدماتی می‌تواند به طور کاملاً غیرمنطقی پرهزینه باشد.
• برخی برنامه‌های هوکس به هیچ مشکل واقعی‌ای اشاره ندارند و تنها به کاربر توهم آلوده شدن سیستم‌ می‌دهند.
• یک سری سازندگان هوکس علاوه بر اینها نرم‌افزارهای دیگری از جمله آگهی‌افزار را نیز اضافه می‌کنند.

راهکارهای امنیتی

• هشدارهای آزاردهنده در مورد ویروس‌ها  یا خطاهای کامپیوترتان را نادیده بگیرید (همان‌هایی که روی وبسایت‌ها نمایش داده می‌شوند). هرگز روی چنین هشدارهایی کلیک نکنید، چه برسد به اینکه بخواهید چیزی را دانلود یا نصب نمایید.
• مراقب باشید دارید چه ابزار پاکسازی را انتخاب می‌کنید. به کیفیت کار توجه کنید. قبل از انتخاب حتماً در موردش تحقیق کنید و به مطالب نشریه‌های مهم کامپیوتری نیز دقت نمایید.
• برای اینکه هیچگاه با هوکس مواجه نشوید، پیشنهاد می‌کنیم یک راه‌حل مطمئن آنتی ویروس نصب کنید که هرگاه برنامه‌های جعلی این چنینی شناسایی کرد به شما اطلاع دهد.

[1] Hoax

[2] digital garbage

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.