روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در شش ماه گذشته، درایورهای Windows Packet Divert برای رهگیری و اصلاح ترافیک شبکه در سیستم‌های ویندوز در روسیه محبوب شده‌اند. از آگست تا ژانویه 2024، ما متوجه شدیم که شناسایی این دو درایور تقریباً دو برابر شده است. دلیل اصلی؟ این درایورها در ابزارهایی استفاده می‌شوند که برای دور زدن محدودیت‌ها برای دسترسی به منابع خارجی طراحی شده‌اند. این افزایش محبوبیت از چشم مجرمان سایبری دور نمانده است. آنها به طور فعال بدافزار را به عنوان ابزارهای دور زدن توزیع می‌کنند - و این کار را با تهدید یوتیوبرها انجام می‌دهند. بنابراین، هر بار که ویدیویی با عنوان «چگونه محدودیت‌ها را دور بزنیم…» تماشا می‌کنید، به‌ویژه محتاط باشید – حتی معتبرترین تولیدکننده‌های محتوا ممکن است ناآگاهانه دزدان، استخراج‌کنندگان و سایر بدافزارها را منتشر کنند. نحوه سوء استفاده مجرمان سایبری از کاربران ناشناس - و جایی که بلاگرها در تصویر قرار می‌گیرند - چیزی است که در این مقاله بررسی خواهیم کرد.

هکرهایی در لباس توسعه‌دهنده‌ای صادق

راهکارهای نرم‌افزاری زیادی وجود دارد که برای دور زدن دسترسی محدود به پلت‌فرم‌های خارجی طراحی شده‌اند، اما همه آن‌ها یک وجه مشترک دارند - آنها توسط توسعه‌دهندگان کوچک ایجاد شده‌اند. چنین برنامه‌هایی به طور ارگانیک پخش می‌شوند: یک علاقه‌مند کد می‌نویسد، آن را با دوستانش به اشتراک می‌گذارد، ویدیویی درباره آن می‌سازد، و بوم:برنامه‌نویس ناشناخته دیروز به «قهرمان مردم» تبدیل می‌شود. مخزن GitHub او ده‌ها هزار بار ستاره‌دار شده است و مردم از او برای بازگرداندن دسترسی به منابع آنلاین مورد علاقه خود تشکر می‌کنند. اخیراً در مورد یکی از این موارد نوشتیم که در آن مجرمان سایبری مخازن GitHub حاوی بدافزار را تقویت کردند.

ممکن است ده ها یا حتی صدها نفر از این علاقه مندان وجود داشته باشند - اما آنها چه کسانی هستند و آیا می توان به آنها اعتماد کرد؟ اینها سوالات کلیدی هستند که کاربران فعلی و بالقوه این برنامه‌ها باید بپرسند. رد فلگ مهم زمانی است که این توسعه دهندگان توصیه می‌کنند محافظت آنتی‌ویروس را غیرفعال کنید. محافظت را غیرفعال می‌کنید تا به طور داوطلبانه به یک هکر بالقوه دسترسی به دستگاه خود بدهید؟ این بازی با آتش است!

قهرمان مردمی البته از نوع قلابی‌اش است و ممکن است یک هکر به دنبال سود باشد. یک دستگاه محافظت نشده در برابر خانواده‌های بدافزار مانند NJRat، XWorm، Phemedrone و DCRat آسیب‌پذیر است که معمولاً در کنار چنین نرم‌افزارهای دور زدنی پخش می‌شوند.

یوتیوبرها کجای این ماجرا ایستادند؟

ما یک کمپین فعال توزیع ماینر را شناسایی کرده‌ایم که حداقل دو هزار قربانی در روسیه گرفته است. یکی از منابع عفونت کانال یوتیوب با 60000 مشترک بود. این بلاگر یوتیوب چندین ویدیو در مورد دور زدن محدودیت ها با لینک به یک آرشیو مخرب در توضیحات آپلود کرد. این ویدیوها در مجموع بیش از 400000 بازدید جمع‌آوری کردند. بعداً صاحب کانال لینک را حذف کرد و این یادداشت را گذاشت: "فایل را از اینجا بارگیری کنید: (برنامه کار نمی‌کند)". در اصل، این لینک به سایت جعلی gitrok[.]com منتهی شد، جایی که آرشیو آلوده میزبانی می‌شد. طبق پیشخوان سایت، در زمان مطالعه ما ابزار دور زدن حداقل 40000 بار دانلود شده بود.

عجله نکنید، تقصیر یوتیوبرها نیست– در این مورد، آنها صرفاً از دستورات مجرمان سایبری پیروی می کردند درحالیکه روحشان هم خبر نداشت دارد چه اتفاقی می‌افتد. ابتدا، مجرمان علیه ویدیویی در مورد چنین ابزار دور زدن محدودیت شکایت کرده و وانمود می‌کنند که توسعه‌دهندگان نرم افزار هستند. سپس آنها با سازنده ویدیو تماس می‌گیرند و آنها را متقاعد می‌کنند که یک ویدیوی جدید را بارگذاری کنند، این بار حاوی لینکی به وب‌سایت مخرب آنها - ادعا می‌کنند که اکنون این تنها صفحه دانلود رسمی است. البته، یوتیوبرها هیچ ایده‌ای ندارند که سایت در حال توزیع بدافزار است – به طور خاص، آرشیو حاوی یک ماینر. و برای کسانی که قبلاً سه یا چند ویدیو در مورد موضوع آپلود کرده اند، امتناع گزینه‌ای نیست. هکرها تهدید می کنند که شکایت‌های متعددی را ارائه می‌دهنده و اگر سه یا بیشتر باشد، کانال حذف می‌شود.

علاوه بر این، مجرمان بدافزار و راهنمای نصب خود را از طریق کانال‌های دیگر تلگرام و یوتیوب منتشر کردند. بسیاری از این موارد حذف شده‌اند - اما هیچ چیز مانع از ایجاد موارد جدید آنها نمی‌شود.

ماینر چه؟

بدافزار مورد بحث ما SilentCryptoMiner بود که در اکتبر 2024 پوشش دادیم. این یک ماینر مخفی مبتنی بر XMRig است، یکی دیگر از ابزارهای استخراج منبع باز. SilentCryptoMiner از استخراج چندین ارز رمزپایه محبوب، از جمله ETH، ETC، XMR، RTM و غیره پشتیبانی می‌کند. این بدافزار با شناسایی فرآیندهای خاصی که مجرمان می‌توانند لیستی از آنها را برای فرار از شناسایی از راه دور تهیه کنند، استخراج را متوقف می‌کند. این امر تشخیص بدون حفاظت قابل اعتماد را تقریبا غیرممکن می‌کند.

برای اطلاعات بیشتر در مورد آرشیو مخرب و نحوه ماندگاری آن در سیستم، پست ما را در Securelist بررسی کنید.

راهکارهای امنیتی

•         مطمئن شوید همه دستگاه‌های شخصی از محافظت مطمئن برای محافظت در برابر ماینرها و سایر بدافزارها برخوردار هستند.
•         از دانلود برنامه‌ها از منابع مبهم یا کمتر شناخته‌شده خودداری کنید. به پلت‌فرم‌های رسمی پایبند باشید، اما به یاد داشته باشید - بدافزارها نیز می‌توانند به آن‌ها نفوذ کنند.
•         به خاطر داشته باشید که حتی معتبرترین یوتیوبرها نیز می‌توانند ناخودآگاه بدافزار را منتشر کنند، از جمله ماینرها و سارقین.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.