سرقت کریپتو از طریق DNS

15 بهمن 1402 سرقت کریپتو از طریق DNS

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ استفاده از گیم‌ها و اپ‌های کرک‌شده برای توزیع بدافزار یکی از ترفندهای قدیمی مجرمان سایبری است. شاید باورکردنی به نظر نرسد اما قربانیان ساده که به رابین هود‌ها اعتقاد دارند و دانلود نرم‌افزارها و گیم‌های کرک‌شده از سایت‌های دزدی را کاملاً امن و موجه می‌دانند هنوز هم وجود دارند- حتی الان که به سال 2024 رسیدیم! این نوع تهدید شاید در ذات، قدیمی باشد اما عاملین مخرب مدام به راه‌های جدیدی برای دور زدن امنیت روی کامپیوتر قربانیان برای ارسال بدافزار فکر فکر می‌کنند. ما اخیراً کمپین جدیدی از این جنس پیدا کردیم که هدفش کامپیوترهای اپل است که نسخه‌های جدیدتر مک‌اواس (13.6 به بعد) را اجرا نموده و برای دانلود پی‌لودهای مخرب به ویژگی‌های DNS (سیستم نام دامنه) نفوذ می‌کنند. به قربانیان پیشنهاد دانلود نسخه‌های کرک‌شده‌ی اپ‌های محبوب به طور رایگان می‌شود. و شما فکر می‌کنید چه چیزی در انتظار قربانیانی است که تسلیم وسوسه‌های خود شدند؟

فعالسازی تقلبی

 بعد از دانلود تصویر دیسک که وانمود می‌کند حاوی اپ کرک‌شده است، قربانی مجاب می‌شود دو فایل را در فولدر اپلیکیشن‌ها کپی کند: یکی خود اپ و دیگر چیزی که فعالساز صدا زده می‌شود. اگر فقط اپ را کپی و لانچ کنید اجرا نخواهد شد. طبق ستورالعمل، اپ کرک‌شده باید ابتدا فعالسازی شود. در تحلیل‌های خود به این پی بردیم که فعالساز هیچ کار پیچیده‌ای نمی‌کند: فقط از آغاز فایل قابل‌اجرای اپ، بایت‌هایی را حذف می‌کند تا آن را کاربردی کند. به بیانی دیگر مجرمان سایبری برای پیشگیری از اجرا شدن اپ، نسخه از قبل کرک‌شده را دستکاری می‌کنند مگر آنکه فعال شده باشد. و جای تعجب نیست که فعالساز عوارض جانبی دارد: وقتی اجرا می‌شود درخواست مجوزهای ادمین را دارد و از آن‌ها برای نصب اسکریپت دانلودر در سیسم استفاده می‌کند. این اسکریپت سپس پی‌لودی را در ادامه از وب دانلود می‌کند- بک‌دری که خود هر از گاهی از اپراتورهایش فرمان می‌گیرد.

لینک دادن از طریق DNS

برای دانلود اسکریپت مخرب، فعالساز ابزاری را به خدمت می‌گیرد که هم عجیب است و هم ظاهری بی‌گناه دارد: DNS که قابلیت فنی جذابی دارد: هر رکورد DNS نه تنها نام اینترنت سرور را با آدرس آی‌پی‌ آن لینک می‌کند که همچنین حاوی شرح متن بدون فرم سرور هم هست که رکورد TXT نامیده می‌شود. این همان چیزی است که عاملین مخرب با جاساز کردن بخش‌هایی از کد مخرب در رکوردهای TXT اکسپلویت می‌کنند. فعالساز یا همان اکتیوتور سه رکورد TXT را که به دامنه مخرب تعلق دارد دانلود می‌کند و از اینها اسکریپتی جمع می‌شود. گرچه به نظر پیچیده می‌آید اما این راه‌اندازی کلی مزیت به همراه دارد. اولی آن است که فعالساز هیچ کار مشکوکی انجام نمی‌دهد: هر اپ وبی درخواست رکوردهای DNS دارد. اینگونه است که هر سشن ارتباطی پا می‌گیرد. دوم اینکه عاملین مخرب می‌توانند براحتی برای دستکاری الگوی آلودگی و پی‌لود نهایی با ادیت رکوردهای TXT دامنه، اسکریپت را آپدیت کنند. و در نهایت حذف محتوای آلوده از وب به دلیل ماهیت توزیع‌شده DNS کار ساده‌ای نیست. ارائه‌دهندگان سرویس اینترنتی و نیز شرکت‌هایی که در این زمینه فعالیت دارند حتی شناسایی نقض خط‌مشی‌های خود را سخت می‌بینند زیرا هر کدام از این رکوردهای TXT تنها بخشی از کد مخرب هستند که به خودی خود هیچ تهدیدی ندارند.

رئیس نهایی

این اسکریپت دانلود که به طور دوره‌ای اجرا می‌شود می‌گذارد مهاجم پی‌لود مخرب را آپدیت کرده و هر بلایی که می‌خواهد سر کامپیوتر قربانی بیاورد. در زمان این تحلیل آن‌ها اکنون به سرقت کریپتو علاقه‌مندی نشان دادند. بک‌در خودکار کامپیوتر قربانی را اسکن می‌کند تا کیف‌پول‌های Exodus یا Bitcoin پیدا کند و آن‌ها را با نسخه‌های تروجان‌زده جایگزین نماید. کیف‌پول آلوده اگزوداس، عبارت‌های بازیابی کاربر و کیف‌پول آلوده بیت‌کوین را سرقت می‌کند (منظور همان کلید رمزگذار است که برای رمزگذاری کلیدهای خصوصی استفاده می‌شوند). مورد دوم به مهاجمین توانایی امضای نقل و انتقالات به جای قربانی را می‌دهد. اینگونه است که فرد می‌تواند روی اپ‌های دزدی چند دلاری را به ازای از دست دادن کلی مبلغ به صورت رمزارز ذخیره کند.

راهکارهای امنیتی

به یاد داشته باشید باید از این تهدید به دور بمانید و نگذارید قربانی شوید. همیشه اپ‌ها را از بازارهای رسمی خریداری و دانلود کنید. پیش از دانلود اپی از وبسایت توسعه‌دهنده مطمئن شوید آیتم واقعی است و آن را از سایت‌های فیشینگی پیدا نکرده‌اید. اگر دارید به دانلود نسخه کرک‌شده اپ فکر می‌کنید خطر بزرگی در کمین‌تان است: سایت‌های پایرت قابل‌اطمینان همانقدر نادر هستند که اسب‌های شاخ‌دار! فرقی ندارد چقدر سواد کامپیوتر دارید به هر حال باید حواستان به جزئیات باشد. مطمئن باشید روی همه دستگاه‌های خود امنیت جامعی حاکم است: گوشی، تبلت، کامپیوتر. کسپرسکی پریمیوم یک راهکار خوب چند پلت‌فرمه است. چک کنید که همه قابلیت‌های پایه و پیشرفته امنیتی فعال هستند. در مورد دارندگان کریپتو افزون بر موارد فوق، پیشنهادمان این است که کیف‌پول‌های کریپتوی سرد و گرم خود را نیز تحت محافظت قرار دهید.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,028,300 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,545,800 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    10,545,800 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    25,326,000 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    70,343,300 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    19,899,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    28,535,300 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    30,525,200 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد