روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ رمزارزها از هر سو مورد هجوم نقشه‌های مجرمان سایبری قرار گرفته‌اند- از کلاهبرداری‌های بیت‌کوین گرفته تا سرقت‌های عظیم که ارزششان به صدها میلیون دلار می‌رسد. هر لحظه ممکن است خطری دارندگان رمزارز را تهدید کند. همین اواخر در مورد کیف‌پول‌های تقلبی اخباری شنیدیم که شاید اولش شبیه به کیف‌پول‌های واقعی باشند اما در نهایت کار به سرقت پول شما خواهد کشید. اکنون متخصصین ما تهدید کاملاً جدیدی را کشف کرده‌اند: حمله‌ای پیچیده که از لودر DoubleFinger–که دوست خود را نیز در قالب سارق کریپتوی GreetingGhoul و تروجان دسترسی ریموت به نام Remcos همراه می‌کند- استفاده می‌کند. با ما همراه باشید تا شما را با ساز و کار این بدافزار آشنا سازیم.

DoubleFinger چطور GreetingGhoul را نصب می‌کند؟

متخصصین ما به سطح بالای حمله و ماهیت چند مرحله‌ای‌اش اشاره کردند که به همین خاطر می‌شود گفت این حمله به APT (تهدید پیشرفته و مستمر) شبیه است. آلودگی DoubleFinger با ایمیلی حاوی فایل مخرب PIF شروع می‌شود. وقتی دریافت‌کننده پیوست را باز می‌کند زنجیره‌ای از اتفاقات رخ می‌دهد. این زنجیره اتفاقات به شرح زیر است:

مرحله اول: DoubleFinger یک پوسته کد[1] که کارش دانلود فایلی در فرمت PNG است از پلت‌فرم اشتراک‌گذاری عکسِ Imgur.com اجرا می‌کند. اما این اصلاً تصویر نیست: فایل حاوی چندین اجزای DoubleFinger در قالب رمزگذاری‌‌شده است که در مراحل بعدی حمله استفاده می‌شوند. اینها شامل لودری برای استفاده در مرحله دوم حمله، فایل قانونی افزونه جاوا و فایل PNG دیگری که در مرحله چهارم به کار خواهد رفت می‌شود.

 مرحله دوم: لودر مرحله دوم DoubleFinger با استفاده از فایل جاوایی که بالاتر اشاره کردیم اجرا می‌شود و بعد از آن پوسته کد دیگری را اجرا کرده، رمزگشایی نموده و در مرحله سوم DoubleFinger لانچ می‌کند.

 مرحله سوم: در این مرحله DoubleFinger یک سری اقدامات برای عبور از نرم‌افزارهای امنیتی نصب‌شده روی کامپیوتر انجام می‌دهد. سپس لودر، مرحله چهارم را رمزگشایی و لانچ می‌کند. مرحله چهارم حاوی فایل PNG که گفتیم در همان مرحله اول هم وجود داشت است. از قضا این فایل PNG نه تنها کد مخرب را که همچنین تصویری را که اسم خود را به بدافزار داده نیز دارد.

مرحله چهارم: در این مرحله DoubleFinger با استفاده از تکنیکی به نام  Process Doppelgänging که به موجب آن پروسه قانونی با پروسه دستکاری‌شده‌ای که حاوی پی‌لود پنجمین مرحله است عوض می‌شود، مرحله پنج را لانچ می‌کند.

مرحله پنجم: بعد از همه دستکاری‌های اعمال‌شده، DoubleFinger می‌رود برای انجام کاری که اساساً برایش طراحی شده: لود کردن و کدگشایی فایل PNG دیگری. این یکی حاوی پی‌لود نهایی است. نام آن سارق کریپتوی GreetingGhoul است که خود را در سیستم نصب کرده و در  Task Scheduler خود را زمان‌بندی می‌کند تا در وقت مقتضی روزانه اجرا شود.

چطور GreetingGhoul کریپتووالت‌ها را سرقت می‌کند؟

وقتی لودر DoubleFinger کار خود را انجام داد، GreetingGhoul مستقیم وارد عمل می‌شود. این بدافزار حاوی دو اجزای تکمیل‌کننده است:

1.      آنی که اپ‌های کریپتووالت را در سیستم شناسایی کرده و داده‌های مورد علاقه مجرمان سایبری را سرقت می‌کند (منظور همان کلیدهای مخفی و عبارت‌های بازیابی است).
2.      آنی که رابط اپ‌های رمزارز را پوشش داده و ورودی کاربر را رهگیری می‌کند.

در نتیجه مجرمان سایبری پشت DoubleFinger می‌‌توانند کنترل کریپتووالت‌های قربانی را دست گرفته و از آن‌ها پول برداشت کنند. متخصصین ما چندین مود مختلف از  DoubleFinger پیدا کردند که برخی‌شان –قوز بالا قوز- در سیستم آلوده تروجان دسترسی ریموتِ  Remcos را نصب می‌کنند (این تروجان بین خود مجرمان خیلی محبوب است). هدف آن در واقع نظارت و کنترل از راه دور است. به بیانی دیگر، Remcos به مجرمان سایبری اجازه می‌دهد تا همه اقدامات دیگر را مشاهده کرده و تمامی سیستم آلوده را تحت کنترل خود درآورند.

چطور باید از کیف‌پول‌های رمزارز خود محافظت کنیم؟

رمزارزها هنوز طعمه‌های چربی برای مجرمان سایبری محسوب می‌شوند پس همه سرمایه‌گذاران رمزارز باید به فکر امنیت خود باشند. از این رو توصیه می‌کنیم:

•         همیشه انتظار اسکم را داشته باشید. دنیای ارزهای دیجیتال مملو از کلاهبرداران است (که هر یک ساز و کار شمایل مختلفی دارند)، بنابراین همیشه محتاطانه عمل کرده و همه‌چیز را مو به مو و با دقت زیر نظر بگیرید.
•         همه تخم‌مرغ‌های خود را در یک سبد نگذارید. از ترکیبی از کیف‌پول‌های گرم (برای تراکنش‌های فعلی) و سرد (برای سرمایه‌گذاری‌های طولانی‌مدت) استفاده کنید.
•         یاد بگیرید چطور مجرمان سایبری می‌توانند به کیف‌پول‌های کریپتوی سرد حمله کنند.
•         از منابع رسمی خرید کنید. کیف‌پول‌های سخت‌افزاری خود را فقط از منابع رسمی و مطمئن مانند وبسایت تولیدکننده یا فروشندگان قانونی بخرید. این برای جلوگیری از خرید کریپتووالت فیک است.
•         علایم دستکاری را بررسی کنید. پیش از استفاده از کیف‌پول سخت‌افزاری بگردید ببینید در آن نشانه‌هایی از دستکاری پیدا می‌کنید یا نه. برای مثال خط و خش، چسب یا اجزای ناهماهنگ.
•         سفت‌افزار را اعتبارسنجی کنید. همیشه مطمئن شوید که سفت‌افزار موجود در کیف پول سخت‌افزاری قانونی و به‌روز است. این را می توان با بررسی وبسایت سازنده برای آخرین نسخه انجام داد.
•         هرگز در کامپیوتر روی کیف‌پول سخت‌افزاری عبارت بازیابی را نزنید. یک فروشنده کیف‌‌پول سخت افزاری هرگز آن را درخواست نمی‌کند.
•         از پسوردها، کلیدها و عبارات بازیابی خود محافظت کنید. از پسوردهای قوی و منحصر به فرد استفاده کرده، آن‌ها را به طور امنی ذخیره کرده و البته هرگز کلیدهای مخفی یا عبارات بازیابی را تحت هیچ شرایطی به کسی ندهید.
•         از خود محافظت کنید. مطمئن شوید محافظت قابل‌اطمینانی روی همه دستگاه‌هایی که برای مدیریت رمزارزهای خود استفاده می‌کنید نصب کرده‌اید.

[1] Shellcode

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.