روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  طی یک اتفاق نگران‌کننده، تلاش کاربری برای محافظت از رمزهای عبور خود به دروازه‌ای برای نفوذ مهاجمان به یک سازمان تبدیل شد. این ماجرا در جریان یک تحقیق جدید درباره حمله باج‌افزاری فاش شد؛ حمله‌ای که از جایی آغاز شد که یکی از کارکنان اقدام به دانلود مدیر رمز عبور محبوب KeePass  کرد – اما از یک وب‌سایت جعلی. از آنجا که KeePass یک پروژه متن‌باز است، مهاجمان توانستند به‌راحتی نسخه‌ای دست‌کاری‌شده از آن را تولید کرده و ویژگی‌های مخرب به آن بیفزایند. سپس این نسخه را مجدداً کامپایل کرده و از طریق وب‌سایت‌های جعلی – که با تبلیغات آنلاین در پلتفرم‌های معتبر نیز تبلیغ می‌شدند – منتشر کردند. دامنه‌هایی مانند keeppaswrd، keebass  و KeePass-download به‌گونه‌ای طراحی شده بودند که کاربران را فریب دهند.

رمز عبورها، در تیررس بدافزار پیشرفته

این کمپین مخرب دست‌کم هشت ماه – از میانه سال ۲۰۲۴ –فعال بود. نرم‌افزار آلوده در ظاهر به‌درستی کار می‌کرد، اما در پس‌زمینه تمام رمزهای عبور پایگاه داده باز را در فایل متنی بدون رمزنگاری ذخیره می‌کرد و هم‌زمان یک ابزار قدرتمند به نام Cobalt Strike را روی سیستم قربانی نصب می‌نمود؛ ابزاری که می‌تواند هم برای تست نفوذ و هم برای اجرای حملات واقعی سایبری استفاده شود. مهاجمان با استفاده از این ابزار موفق شدند رمزهای عبور را سرقت کرده، به سیستم‌های دیگر در شبکه نفوذ کنند و در نهایت، سرورهای ESXi سازمان را رمزگذاری کنند.

جعل حرفه‌ای، بدافزاری با امضای دیجیتال معتبر

تحقیقات نشان داد که دست‌کم پنج نسخه مختلف از KeePass دست‌کاری‌شده در این حملات استفاده شده‌اند. برخی از آن‌ها ساده‌تر بودند و رمزهای عبور را بلافاصله به سرور مهاجمان ارسال می‌کردند. برخلاف روش‌های رایج، این بدافزارها به‌طور حرفه‌ای طراحی شده بودند تا از چشم راهکارهای امنیتی پنهان بمانند. نکته نگران‌کننده‌تر این بود که تمامی نسخه‌های آلوده KeePass با گواهی دیجیتال معتبر امضا شده بودند؛ در نتیجه، هنگام نصب هیچ هشدار خاصی در ویندوز ظاهر نمی‌شد. این گواهی‌ها از سوی چهار شرکت نرم‌افزاری مختلف صادر شده بودند، درحالیکه نسخه رسمی KeePass گواهی متفاوتی دارد – اما کاربران به ندرت به نام منتشرکننده نرم‌افزار توجه می‌کنند.

هشدار جدی به کاربران و سازمان‌ها

این حادثه نشان می‌دهد که حتی ابزارهای امنیتی نیز می‌توانند به سلاحی علیه کاربران تبدیل شوند، اگر منابع دانلود به‌درستی انتخاب نشوند. بررسی دقیق آدرس سایت‌ها، اعتماد نکردن به تبلیغات جست‌وجویی، و توجه به امضای دیجیتال نرم‌افزارها می‌تواند از بروز چنین فجایعی جلوگیری کند. در ادامه‌ی بررسی حمله تروجان به نسخه جعلی KeePass، جزئیات تازه‌ای از نحوه عملکرد این بدافزار و دامنه وسیع‌تر تهدیدها منتشر شده است - اطلاعاتی که نه تنها سازمان‌ها، بلکه کاربران خانگی را نیز مخاطب قرار می‌دهد.

تروجان زیر پوست برنامه

عملکردهای مخرب در دل منطق اصلی برنامه جاسازی شده بودند و تنها زمانی فعال می‌شدند که کاربر یک پایگاه داده رمز عبور را باز می‌کرد. به‌عبارت‌دیگر، KeePass  جعلی ابتدا به‌طور کاملاً معمول اجرا می‌شد، از کاربر می‌خواست پایگاه داده را انتخاب کرده و رمز اصلی را وارد کند، و پس از آن دست به رفتارهایی می‌زد که ممکن بود توسط ابزارهای امنیتی به‌عنوان مشکوک شناسایی شوند. این روش، شناسایی بدافزار را برای ابزارهای تحلیلی مانند sandboxes بسیار دشوار می‌کرد، زیرا رفتار مخرب تنها پس از تعامل کاربر و به‌صورت کاملاً هدفمند آغاز می‌شد.

فقط  KeePass نیست!

در جریان تحقیقات، پژوهشگران به سایت‌های جعلی دیگری رسیدند که از همان دامنه میزبان استفاده می‌کردند. این وب‌سایت‌ها نرم‌افزارهای معتبر دیگری مانند مدیر فایل امن WinSCP و ابزارهای مرتبط با رمزارز را تبلیغ می‌کردند. این نسخه‌ها کمتر دست‌کاری شده بودند و صرفاً بدافزار معروفی به نام Nitrogen Loader را روی سیستم قربانی نصب می‌کردند. این موضوع نشان می‌دهد که احتمالاً پشت این حملات، گروه‌های مجرمانه‌ای موسوم به دلالان دسترسی اولیه[1]  قرار دارند. این افراد، اطلاعات محرمانه و گذرواژه‌ها را سرقت می‌کنند تا دروازه‌های ورود به شبکه‌های سازمانی را بیابند و سپس این دسترسی‌ها را به گروه‌های دیگر – معمولاً باج‌افزارنویس‌ها – می‌فروشند.

تهدیدی برای همه

مهاجمان در چنین حملاتی هیچ کاربر خاصی را هدف نمی‌گیرند. آن‌ها از هر طعمه‌ای استفاده می‌کنند تا بتوانند اطلاعاتی مانند گذرواژه‌ها، داده‌های مالی یا هویتی را به‌دست آورند. سپس این داده‌ها دسته‌بندی و در بازارهای زیرزمینی به فروش می‌رسند. باج‌افزارها از داده‌های دسترسی به شبکه‌های سازمانی استفاده می‌کنند، کلاهبرداران اطلاعات کارت بانکی و هویتی را می‌خرند، و اسپمرها به‌دنبال حساب‌های شبکه‌های اجتماعی یا بازی‌ها هستند.

برای این مجرمان، مهم نیست کاربر چه کسی است — فقط کافی است طعمه‌ای ساده‌لوح باشد.

چگونه از رایانه خانگی خود محافظت کنیم؟

•         تنها از منابع رسمی نرم‌افزار دانلود کنید: همیشه برنامه‌ها را از سایت رسمی تولیدکننده یا فروشگاه‌های معتبر اپلیکیشن  مثل Microsoft Store یا Google Play دریافت کنید.
•         به امضای دیجیتال توجه کنید: هنگام اجرای برنامه‌ای جدید، پنجره‌ای در ویندوز باز می‌شود که نام منتشرکنندهرا نمایش می‌دهد. این نام باید با شرکت اصلی سازنده نرم‌افزار تطابق داشته باشد.
•         مراقب تبلیغات جست‌وجویی باشید: هنگام جست‌وجوی نام برنامه‌ها، به لینک‌هایی که برچسب "تبلیغ" (Ad) دارند اعتماد نکنید. لینک سایت رسمی معمولاً در نتایج جست‌وجو ظاهر می‌شود، اما بهتر است آن را با منابع معتبر مثل Wikipedia یا فروشگاه‌های اصلی چک کنید.
•         از آنتی‌ویروس جامع استفاده کنید: راهکارهای امنیتی کامل مانند کسپرسکی پریمیوممی‌توانند از بسیاری از تهدیدها جلوگیری کرده و از ورود به سایت‌های خطرناک جلوگیری کنند.
•         از مدیر رمز عبور استفاده کنید – اما هوشمندانه: هرچند KeePass جعلی در این حمله استفاده شد، اما ایده ذخیره امن رمزهای عبور همچنان حیاتی است. راهکارهایی مانند Kaspersky Password  Manager  اطلاعات شما را به‌صورت رمزنگاری‌شده ذخیره کرده و امنیتی بالا را فراهم می‌کنند.

چگونه سازمان خود را از دسترسی غیرمجاز و بدافزارهای سرقت اطلاعات محافظت کنیم؟

استفاده از اطلاعات ورود واقعییکی از رایج‌ترین روش‌های نفوذ سایبری توسط مجرمان است. برای کاهش ریسک سرقت حساب‌های سازمانی، رعایت اصول مقابله با سارقین داده ضروری است. در کنار آن، برای مقابله با نرم‌افزارهای تروجان‌شده مانند نسخه جعلی KeePass، اقدامات تکمیلی زیر نیز توصیه می‌شود:

محدودسازی اجرای نرم‌افزارهای مشکوک با لیست سفید

•         استفاده از لیست‌های سفید نرم‌افزار برای محدود کردن دانلود و اجرای برنامه‌ها، یکی از موثرترین راه‌هاست. می‌توان معیارهایی مانند «نرم‌افزارهای متعلق به یک ناشر خاص» یا «نرم‌افزارهایی با امضای دیجیتال مشخص» را به عنوان شرط پذیرش قرار داد.

مثال واقعی:در حمله KeePass اگر این سیاست اعمال شده بود، نسخه تروجان‌شده که با گواهی جعلی امضا شده بود، اجازه اجرا پیدا نمی‌کرد.

·        استقرار سامانه‌های نظارت و پاسخ متمرکز

با استفاده از حسگرهای EDR (تشخیص و پاسخ نقطه پایانی)روی تمام ایستگاه‌های کاری و سرورها، و تحلیل داده‌های حاصل با سیستم‌های SIEMیا XDR، می‌توان رفتارهای غیرعادی را شناسایی و به آن‌ها پاسخ سریع داد.

پیشنهاد حرفه‌ای:راهکار Kaspersky Next XDR Expert می‌تواند یک پوشش کامل برای این نیازها فراهم کند.

·        آموزش پیشرفته کارکنان

آگاهی کارکنان تنها به شناسایی فیشینگ محدود نمی‌شود. آن‌ها باید بتوانند:

نرم‌افزارهای جعلی را تشخیص دهند

تبلیغات مخرب را شناسایی کنند

تکنیک‌های مهندسی اجتماعی را درک کرده و در برابر آن‌ها مقاومت کنند

پلت‌فرم Kaspersky Automated Security Awarenessمی‌تواند آموزش‌های تعاملی و خودکار برای ارتقاء سطح آگاهی کارکنان ارائه دهد.

جمع‌بندی

در عصر بدافزارهای پیچیده و دلالان دسترسی اولیه، محافظت از اطلاعات سازمانی صرفاً به داشتن آنتی‌ویروس خلاصه نمی‌شود. ترکیبی از سیاست‌های محدودساز، ابزارهای پیشرفته پایش امنیتی، و آموزش مداوم منابع انسانی، دیوار دفاعی واقعی در برابر تهدیدهای نوظهور است.

[1] Initial Access Brokers

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.