روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ دانلود نرم‌افزارهای پایرت‌شده همیشه ماهیتی شبیه به بخت‌آزمایی دارد: برخی می‌برند و برخی می‌بازند. کاربر ممکن است حتی بیشتر از آن مبلغی که برای لایسنس داده از دست دهد. ما پیشتر در مورد انواع مختلف بدافزارهایی که خود را جای گیم‌های پایرت‌شده می‌زنند و از طریق تورنت‌ها توزیع می‌شوند صحبت کرده‌ایم اما اخیراً محققین ما پژوهش جدیدی در مورد دراپری موسوم به NullMixer–تهدید گسترده‌ی دیگری که کاربران ممکن است موقع دانلود نرم‌افزاری بدون لایسنس با آن مواجه شوند- منتشر کردند که در این مقاله قصد داریم بدان بپردازیم. با ما همراه باشید.

تروجان‌های دراپر چه هستند؟ (برای مثال NullMixer)

به بیان ساده، تروجان‌های دراپر (یا همان دراپرهای خالی) ابزارهایی هستند مخصوص توزیع نرم‌افزارهای مخرب. هدف اصلی آن‌ها این است که به صورت چراغ خاموش روی دستگاه کاربر بدافزار نصب کنند. در ادامه بعنوان مثال ساز و کار  NullMixer را بررسی خواهیم کرد. این دراپر از طریق سایت‌هایی توزیع می‌شود که نرم‌افزارهای پایرت‌شده و کرک‌ها (ابزارهایی برای شکستن لایه محافظتی نرم‌افزار قانونی) را وعده می‌دهند. توسعه‌دهندگان بدافزار از ابزارهای سئو استفاده زیرکانه می‌کنند. برای جستجوهایی چون «نرم‌افزارهای کرک‌شده» یا «کی‌جن‌ها (همان تولیدکننده‌های رمز)»، سایت‌های مخرب مربوطه اغلب بالای نتایج سرچ قرار ظاهر می‌شوند. موقع دانلود نرم‌افزار پایرت‌شده از چنین سایتی، کاربر چندین بار ریدایرکت می‌شود تا در نهایت به وب‌پیج خاصی برسد. در این پیج، کاربر لینکی می‌بیند که به آرشیو محافظت‌شده با پسورد منتهی می‌شود؛ همینطور به دستورالعمل‌هایی برای نحوه دانلود و آن‌پک کردنِ آن.

خبر خوب اینکه تا اینجای کار هیچ مکانیزم سختی برای ابتلای کامپیوتر به کار نمی‌رود، فقط قربانی باید از سایت دیدن کند. همه مراحل –از کلیک روی لینک تا دانلود بدافزار و در نهایت لانچ کردن آن- باید توسط خود کاربران انجام شود. اگر قربانی در برهه‌ای شک کند و دست از ادامه دادن بکشد هیچ اتفاقی برای کامپیوتر او نخواهد افتاد. توزیع‌کنندگان Nullmixer واضحاً روی ایجاد حس امنیت کاذب روی قربانی حساب باز کرده‌اند. بسیاری گمان دارند هیچ چیز بدی نمی‌تواند روی صفحه اول نتیجه سرچ ظاهر شود و از این رو کلیک می‌کنند و نتیجه می‌شود نصب تروجان!

NullMixer با خود چه بدافزارهایی در پی دارد؟

NullMixer موارد زیادی از بدافزار را یکجا اجرا می‌کند و بیش از نیمی از آن‌ها دانلودرهای مخرب هستند. این یعنی آن‌ها وقتی اجرا شدند یک سری بدافزار دیگر را در ادامه راه خود در سیستم می‌کارند. در نتیجه، به جای برنامه‌ای که می‌خواستید میزبانی جشنواره‌ای از بدافزارها خواهید شد! می‌خواهید بدانید در این پکیج طلایی چه چیزهای دیگری غیر از دانلودرها هست؟ باید بگوییم مجموعه‌ای از سرقت‌گرها (استیلرها): برنامه‌هایی که هدفشان اطلاعات محرمانه‌ی لاگین است. بدنام‌ترین این‌ها RedLine است که اولین بار سال 2020 توسط محققین رصد شد و از آن زمان بدان لقب «رهبر بازار» داده‌اند. ردلاین کارش سرقت پسورد، اطلاعات بانکی، کلیدهای کیف‌پول مجازی، سشن‌کوکی‌ها (که اجازه می‌دهند هر کسی بدون پسورد وارد اکانت‌های شما شود) و مسیج‌ها (از IMها) است. علاوه بر دانلودرها و استیلرها، قربانیان NullMixer چندین تروجان بانکی هم دریافت می‌کنند که معروف‌ترینشان DanaBOT است. این یک فقره نه تنها از دستگاه اطلاعات سرقت می‌کند که حتی می‌تواند فرم‌های جعلی روی فروشگاه‌های آنلاین یا پیج‌های شبکه اجتماعی تزریق کند تا بدین‌ترتیب قربانیان خودشان دست به اشتراک‌گذاری داده‌های کارت اعتباری خود بزنند! شاید مهمترین ویژگی دانابات این باشد که به صاحبان خود دسترسی تمام به دستگاه مبتلا را می‌دهد و همین موجب می‌شود مهاجمین هرکاری که دلشان می‌خواهند انجام دهند. مهمترین مسئله اینکه مجموعه  NullMixer همچنین شامل جاسوس‌افزاری تمام عیار هم می‌شود: نام آن تروجانِ  PseudoManuscrypt است که می‌تواند داده کاربری را حتی وقتی با وی‌پی‌ان ارسال شده باشد نیز سرقت کند، اسکرین‌شات بگیرد و ویدیوی آن‌اسکرین و صوتی ضبط نموده و از خود رد و اثری هم به جای نگذارد: PseudoManuscrypt برای پنهان کردن فعالیت خود، لاگ‌های سیستم را پاک می‌کند.

چطور قربانی نباشیم؟

همانطور که اول مقاله هم گفتیم، دانلود نرم‌افزارهای پایرت‌شده همیشه همراه با ریسک است. پس طبق معمول توصیه ما نصب برنامه‌های است که حتماً لایسنس‌دار باشند. این برنامه‌ها همچنین باید فقط از منابع رسمی و قانونی دانلود شوند. اگر به هر دلیلی نتوانستید لایسنس پولی بخرید همیشه می‌توانید به دنبال جایگزین رایگانش باشید، برای مدتی از نسخه آزمایشی استفاده کنید یا کمی صبر کنید تا روی آن‌ها تخفیف بخورد. برای آنکه مطمئن شوید دستگاهتان امن است از راهکار امنیتی مطمئنی استفاده کنید که بدافزارها را از شما و دستگاهتان دور نگه دارد. محصولات ما به طور موفقی  NullMixer و همه ملحقات آن را گیر می‌اندازند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.