روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ امروز قصد داریم در مورد موش‌ها حرف بزنیم. منظورمان آن جوندگان دُم‌دراز نیستند بلکه موش‌هایی از نوع دیجیتال را می‌گوییم؛ همان تروجان‌های دسترسی ریموت یا RATها. تروجان‌هایی هستند که مهاجمین از آن‌ها برای دسترسی ریموت به دستگاه استفاده می‌کنند. به طور معمول این رت‌ها می‌توانند برنامه‌ها را نصب و از نصب خارج کنند، کلیپ‌بورد و ضربات کلید لاگ را کنترل کنند. در می 2024 نژاد جدیدی از موش صحرایی به نام SambaSpy در تله‌موش ما سرگردان شد. بیایید اصلاً ببینیم SambaSpy چیست:

SambaSpy یک تروجان رت با کلی قابلیت است که با استفاده از Zelix KlassMaster مبهم‌سازی شده است و همین باعث شده شناسایی و تحلیل آن، به مراتب سخت‌تر باشد. با این حال، تیم ما طی یک چالش در نهایت رت جدیدی را کشف کرد که این قابلیت‌ها را داشت:

•         مدیریت فایل سیستم و پروسه‌ها
•         دالود و آپلود فایل‌ها
•         کنترل وب‌کم
•         گرفتن اسکرین‌شات
•         سرقت پسوردها
•         لود کردن پلاگین‌های اضافی
•         کنترل راه دور دسکتاپ
•         لاگ ضربات کیبورد
•         مدیریت کلیپ‌بورد

تحت تأثیر قرار گرفتید؟ بله، باید اعتراف کنیم SambaSpy بر همه اینها تواناست؛ ابزاریست عالی برای جیمز باند قرن بیست و یکمی! اما حتی این لیست بلند بالا که ارائه دادیم هم کافی نیست: بیشتر بخوانید تا به قابلیت‌های بیشتر این موش پی ببرید.

کمپین آلوده‌ای که ما کشف کردیم مشخصاً قربانیان را در ایتالیا هدف قرار داده. شاید غافلگیرکننده باشد اما می‌تواند خبر خوبی باشد (برای هر کسی که در ایتالیا نیست).  عاملین تهدید معمولاً سعی دارند برای بیشتر کردن سود خود تور بزرگی پهن کنند اما جالب است که عاملین پشت این تروجان فقط تمرکزشان روی ایتالیایی‌هاست. آیا این خوب است؟ احتمال دارد مهاجمین دارند پیش از پهن کردن توری بزرگ برای کشورهای دیگر فقط ایتالیا را تست می‌کنند. ما گام به گام پشت سرشان هستیم چون دیگر با ساز و کار این تروجان آشناییم و با آن مقابله خواهیم کرد. فقط به کاربران‌مان در سراسر دنیا هشدار می‌دهیم مطمئن شوند دارند از راهکار امنیتی مطمئنی استفاده می‌کنند.

مهاجمین چطور SambaSpy را توزیع می‌کنند؟

به طور خلاصه، مانند خیلی از RATها این RAT هم با ایمیل توزیع می‌شود. مهاجمین در واقع از دو زنجیره آلودگی اصلی استفاده کردند که هر دو شامل ایمیل‌های فیشینگی می‌شدند با پوشش ارتباطاتی از یک بنگاه واقعی. عنصر اصلی در ایمیل CTA برای چک کردن فاکتور با کلیک روی هایپرلینک است. در واقع کاربران با کلیک روی لینک به وبسایتی آلوده برده شدند که کارش چک زبان سیستم و مرورگر استفاده‌شده بود. اگر سیستم عامل قربانی احتمالی روی ایتالیایی تنظیم شده بود و آن‌ها لینک را در اج، فایرفاکس یا کروم باز کرده بودند یک فایل آلوده پی‌دی‌اف دریافت می‌کردند که باعث می‌شد دستگاه‌شان یا با دراپر و یا دانلود آلوده شود. فرق بین این دو بسیار کم است: دراپر فوراً تروجان را نصب می‌کند و دانلودر اما اول اجزای لازم را از سرورهای مهاجم دانلود می‌کند. پیش از شروع، هر دو لودر و دراپر چک می‌کنند سیستم ماشین مجازی استفاده نکرده باشد و از همه مهمتر زبان سیستم عامل روی ایتالیایی تنظیم شده باشد. اگر هر دو شرط رعایت شده باشد، دستگاه آلوده می‌شود. کاربرانی که این شرایط را نداشته باشند به وبسایت FattureInCloud برده می‌شوند؛ راهکارهای مبتنی بر کلود برای ذخیره و مدیریت فاکتورهای دیجیتال. این پوشش هوشمندانه به مهاجمین اجازه می‌دهد فقط مخاطبین خاص را هدف قرار دهند؛ هر کس دیگر به وبسایتی قانونی هدایت می‌شود.

دست‌های پشت پرده SambaSpy

ما هنوز نمی‌توانیم با قطعیت بگوییم پشت پرده توزیع پیچیده  SambaSpy کیست اما شواهد غیرواقعی به ما نشان داده مهاجمین به زبان پرتغالی برزیلی حرف می‌زنند. همچنین می‌دانیم که عاملین دارند عملیات‌های خود را تا اسپانیا و برزیل بسط می‌دهند (شاهدمان دامنه‌های آلوده‌ای است که همین گروه در کمپین‌های شناسایی‌شده دیگر استفاده می‌شوند). به هر روی، این کمپین‌ها دیگر بررسی زبانی را شامل نمی‌شوند.

راهکارهای امنیتی

متود این آلودگی محل بحث است. در واقع این متود نشان می‌دهد هر کسی هر جایی که به هر زبانی حرف بزند می‌تواند تارگت کمپینی جدید باشد. برای مهاجمین فرقی ندارد کجا را می‌زنند؛ جزئیات طعمه فیشینگ هم برایشان اهمیت ندارد. امروز فاکتوری از بنگاه واقعی است و فردا نوتیفیکیشن مالیاتی و روزی دیگر بلیت‌های هواپیما یا ووچرهای مسافرتی. از این رو توصیه می‌کنیم:

•         کسپرسکی پریمیوم را پیش از اینکه دستگاه‌تان هر علامتی از آلودگی را نشان دهد نصب کنید. راهکار ما به طور مطمئنی هم SambaSpy و هم سایر بدافزارها را شناسایی کرده و خنثی می‌کند.
•         همیشه حواستان به ایمیل‌های فیشینگ باشد. پیش از کلیک روی لینک داخل اینباکس خود، لحظه‌ای از خود بپرسید «آیا این می‌تواند اسپم باشد؟».

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.