روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ سال گذشته اواسط ماه دسامبر، فایل مشکوکی در VirusTotal–سرویس آنلاینی که فایل‌ها را برای پیدا کردن بدافزار اسکن می‌کند- آپلود شد. در نگاه اول شبیه به نصب‌گر کیف‌پول رمزارز بود اما متخصصین ما آن را تحلیل کردند و پی بردند علاوه بر کیف‌پول بودنش، بدافزار را نیز به دستگاه کاربر انتقال می‌دهد. به نظر می‌رسد که این برنامه کار مجرمان تازه‌کار و رده‌پایین نیست بلکه مجرمان سایبری پشت لازاروس آن را هدایت می‌کنند! با ما همراه باشید تا ماهیت این فایل مشکوک را مفصل بررسی کنیم.

لازاروس چیست؟

لازاروس یک گروه APT است. چنین گروه‌هایی سازمان‌های جرم سایبری هستند که معمولاً خوب هم حمایت مالی می‌شوند. این گروه‌ها کاشان توسعه بدافزارهای پیچیده است و در حملات هدف‌دار تخصص دارند (برای مثال برای جاسوسی‌های سیاسی یا صنعتی). سرقت پول –اگر اصلاً جذبش بشوند- معمولاً هدف اصلی‌شان نیست. با این حال لازاروس گروه APT ایست که فعالانه دنبال پول افراد است. برای مثال در سال 2016 این گروه از بانک مرکزی بنگلادش کلی پول سرقت کرد؛ در سال 2018 یک صرافی رمزارز را به بدافزار آلوده کرده و در سال 2020 هم در بخش باج‌افزار دستی بر آتش داشت.

کیف‌پول DeFi با بک‌در

فایلی که نظر همه محققین ما را به خود جلب کرد حاوی یک نصب‌گر آلوده بود برای کیف‌پول رمزارز غیرمترمکزِ قانونی. DeFi (اختصار عبارت decentralized finance) یک مدل مالی است که در آن هیچ واسطی مانند بانک وجود نداشته و همه تراکنش‌ها مستقیم بین کاربران رخ می‌دهد. در سال‌های اخیر فناوری DeFi بسیار محبوب شده است. به نقل از فوربز برای مثال از می 2020 تا می 2021 ارزش دارایی‌های خوابیده‌شده در سیستم‌های DeFi افزایش 88 برابری داشته است. و خوب جای تعجبی هم نیست که DeFi اکنون توجه مجرمان سایبری را هم به خود جلب کرده باشد. اینکه مهاجمین چطور قربانیان را متقاعد می‌کنند فایل آلوده را دانلود و اجرا کنند هنوز مشخص نیست اما محققین ما گمان دارند مهاجمین برای کاربران ایمیل‌های هدف‌دار یا پیام‌هایی در رسانه‌های اجتماعی می‌فرستند. برخلاف ایمیل‌های انبوه چنین مسیج‌هایی برای گیرندگانی خاص تنظیم شده و می‌توانند خیلی هم موجه به نظر برسند. به هر روی وقتی کاربر نصب‌گر را اجرا می‌کند دو فایل قابل‌اجرا را ایجاد می‌نماید: یکی برنامه آلوده و دیگری نصب‌گر کیف‌پول رمزارز پاک.

چقدر خطرناک است؟

بدافزاری که با کیف‌پول DeFi به کامپیوتر سر می‌خورد چیزی نیست جز یک بک‌در! بسته به مقاصد اپراتور، این بک‌در می‌تواند یا دست به جمع‌آوری اطلاعات بزند یا روی دستگاه کنترل ریموت ارائه دهد. مشخصاً می‌تواند:

• شروع و پایان فرآیندها
• اجرای فرمان‌های روی دستگاه
• دانلود فایل‌ها در دستگاه، حذفشان و ارسال فایل‌ها از دستگاه به سرور C&C

به بیانی دیگر در صورت حمله موفق، این بدافزار می‌تواند آنتی‌ویروس را غیرفعال کرده و هر چه دوست داشته باشد را سرقت کند؛ از داکیومنت‌های باارزش گرفته تا اکانت‌ها و پول قربانیان. همچنین می‌تواند سایر برنامه‌های آلوده را نیز در کامپیوتر (در صورت صلاح‌دید مجرمان سایبری) دانلود کند.

راهکار امنیتی

اگر سر و کارتان با مسائل مالی است خصوصاً رمزارز حواستان به پیام‌هایی که سعی دارند شما را برای نصب برنامه‌ها از منابع غیرقابل‌اعتماد متقاعد کنند باشد. افزون بر این مطمئن شوید دستگاه‌هایتان امن هستند- خصوصاً آن‌هایی که برای تراکنش‌های رمزارز از آن‌ها استفاده می‌کنید. یک راهکار امنیتی قابل‌اعتماد در مواردی که هشیاری و احتیاط ساده کارساز نیست می‌تواند کمک بسیاری به شما بکند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.