روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اگر کاربر فعال ارزهای دیجیتال هستید اما همچنان فایل‌های تورنت دانلود می‌کنید و در ذخیره‌سازی امن عبارت‌های بازیابی کیف پول خود اطمینان ندارید، خبر بدی برایتان داریم: ما تروجان جدیدی به نام «اِفیمر» کشف کرده‌ایم که آدرس کیف پول‌های ارز دیجیتال را مستقیماً در کلیپ‌بورد شما جایگزین می‌کند. تنها یک کلیک کافی است تا دارایی شما به کیف پول یک هکر منتقل شود.

چگونه ارز دیجیتال خود را ایمن نگه دارید؟

روش انتشار افیمر

یکی از اصلی‌ترین کانال‌های توزیع «اِفیمر» وب‌سایت‌های وردپرسی است. وردپرس یک سیستم مدیریت محتوای رایگان و محبوب در جهان است که توسط همه، از وبلاگ‌نویسان و کسب‌وکارهای کوچک گرفته تا رسانه‌های بزرگ و شرکت‌های بین‌المللی، استفاده می‌شود. کلاهبرداران از وب‌سایت‌هایی با امنیت ضعیف سوءاستفاده کرده و با انتشار مطالب حاوی فایل‌های تورنت آلوده، این بدافزار را پخش می‌کنند.

وقتی کاربر یک فایل تورنت از وب‌سایت آلوده دانلود می‌کند، پوشه‌ای کوچک دریافت می‌کند که شامل فایلی شبیه یک ویدئو با پسوند .xmpeg می‌شود. این قالب را نمی‌توان بدون یک «پخش‌کننده رسانه ویژه» باز کرد؛ برنامه‌ای که به‌طور «تصادفی» در همان پوشه قرار دارد. در حقیقت، این «پخش‌کننده» چیزی جز نصب‌کننده تروجان نیست.

اخیراً «اِفیمر» از طریق ایمیل‌های فیشینگ نیز منتشر می‌شود. صاحبان وب‌سایت‌ها و دامنه‌ها ایمیل‌هایی دریافت می‌کنند که ظاهراً از سوی وکلای حقوقی ارسال شده و به دروغ مدعی نقض کپی‌رایت و درخواست حذف محتوا هستند. در ایمیل آمده است که جزئیات در فایل پیوست موجود است… اما در واقع همان‌جاست که تروجان پنهان شده. حتی اگر خودتان وب‌سایتی نداشته باشید، همچنان ممکن است پیام‌های هرزنامه حاوی «اِفیمر» دریافت کنید. مهاجمان آدرس‌های ایمیل کاربران را از وب‌سایت‌های وردپرسی که قبلاً نفوذ کرده‌اند، جمع‌آوری می‌کنند. بنابراین اگر ایمیلی با چنین محتوایی دریافت کردید، به هیچ عنوان پیوست آن را باز نکنید.

چگونگی سرقت ارز دیجیتال توسط Efimer

پس از آلوده شدن دستگاه، یکی از اسکریپت‌های «اِفیمر» خود را به فهرست استثناهای ویندوز دیفندر اضافه می‌کند، البته به شرط داشتن دسترسی ادمین. سپس بدافزار یک کلاینت Torنصب می‌کند تا با سرور فرمان و کنترل خود ارتباط برقرار کند. «اِفیمر» به کلیپ‌بورد سیستم دسترسی پیدا کرده و به دنبال عبارت بازیابیمی‌گردد؛ رشته‌ای منحصر به‌فرد از کلمات که دسترسی به کیف پول ارز دیجیتال را فراهم می‌کند. این عبارت ذخیره شده و به سرور مهاجمان ارسال می‌شود. اگر آدرس کیف پول نیز در کلیپ‌بورد پیدا کند، آن را به‌طور نامحسوس با یک آدرس جعلی جایگزین می‌کند. برای جلوگیری از جلب توجه، این آدرس جعلی معمولاً شباهت زیادی به آدرس اصلی دارد. در نهایت، ارز دیجیتال کاربر بی‌سروصدا به کیف پول مهاجمان منتقل می‌شود.

کیف پول‌های حاوی بیت‌کوین، اتریوم، مونرو، ترون یا سولانا بیشترین خطر را دارند، اما صاحبان دیگر ارزهای دیجیتال نیز نباید بی‌احتیاطی کنند. توسعه‌دهندگان «اِفیمر» به‌طور منظم این بدافزار را به‌روزرسانی کرده و با افزودن اسکریپت‌های جدید، دامنه پشتیبانی از کیف پول‌های بیشتر را گسترش می‌دهند.

چه کسانی در معرض خطر هستند؟

تروجان «اِفیمر» کاربران ویندوز را در سراسر جهان هدف قرار می‌دهد. در حال حاضر، این بدافزار بیشترین فعالیت را در برزیل، روسیه، هند، اسپانیا، آلمان و ایتالیا دارد، اما دامنه این حملات به‌راحتی می‌تواند به کشورهای دیگر — اگر تاکنون نرسیده باشد — گسترش پیدا کند. کاربران کیف پول‌های ارز دیجیتال، صاحبان وب‌سایت‌های وردپرسی و افرادی که به‌طور مکرر فیلم، بازی یا فایل‌های تورنت از اینترنت دانلود می‌کنند باید بیش از دیگران هوشیار باشند.

راهکارهای امنیتی

تروجان «اِفیمر» یک بدافزار همه‌فن‌حریف است که می‌تواند ارز دیجیتال سرقت کند، آدرس کیف پول‌ها را جایگزین کند و برای افراد و سازمان‌ها تهدید جدی باشد. این بدافزار توانایی هک سایت‌های وردپرسی از طریق اسکریپت‌ها و حتی گسترش خودکار را دارد. با این حال، در تمام موارد، آلودگی تنها زمانی رخ می‌دهد که قربانی بالقوه یک فایل مخرب را دانلود و اجرا کند. این یعنی کمی دقت و احتیاط — حداقل با نادیده گرفتن فایل‌ها از منابع مشکوک — بهترین سپر دفاعی در برابر «اِفیمر» است.

توصیه‌های ما برای کاربران خانگی:

• از راهکار امنیتی قدرتمندی استفاده کنید که بتواند فایل‌ها را از نظر بدافزار اسکن کرده و هنگام باز کردن لینک‌های فیشینگ هشدار دهد.
• رمزهای عبور قوی و منحصربه‌فرد ایجاد کنید. ذخیره‌سازی آن‌ها در اپلیکیشن یادداشت ایده خوبی نیست؛ از یک مدیر رمز عبور استفاده کنید.
• برای ورود به کیف پول‌های ارز دیجیتال و وب‌سایت‌ها، احراز هویت دو مرحله‌ای فعال کنید.
• از دانلود فیلم یا بازی از سایت‌های تأییدنشده خودداری کنید. محتوای غیرقانونی اغلب مملو از انواع تروجان‌ها است. حتی اگر چنین ریسکی را پذیرفتید، به پسوند فایل‌ها دقت کنید؛ یک فایل ویدئویی معمولی هرگز پسوند .exe یا .xmpeg ندارد.
• عبارت‌های بازیابی  خود را در فایل متنی ساده ذخیره نکنید؛ به مدیر رمز عبور اعتماد کنید.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.