روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ ما اخیراً یک کمپین مخرب جدید شناسایی کرده‌ایم که از رویکردی نسبتاً جالب استفاده می‌کند. عامل تهدید، نسخه‌هایی امضا‌شده از یک ابزار قانونی دسترسی از راه دور را خودش ایجاد می‌کند. برای توزیع این نسخه‌ها، از یک سرویس مجهز به هوش مصنوعی برای تولید انبوه صفحات وب مخرب استفاده می‌شود؛ صفحاتی که بسیار قانع‌کننده و مشابه وب‌سایت‌های رسمی برنامه‌های مختلف ساخته شده‌اند.در ادامه، توضیح می‌دهیم این حمله چگونه عمل می‌کند، چرا برای کاربران خطرناک است و چگونه می‌توان از آن جلوگیری کرد. با ما همراه بمانید.

ساز و کار حمله

به نظر می‌رسد مهاجم از چند روش برای آغاز حمله استفاده می‌کند. نخست، آن‌ها روی این حساب می‌کنند که تعداد زیادی از کاربران از طریق جست‌وجوهای ساده در گوگل وارد صفحات جعلی شوند. دلیل آن هم این است که آدرس این صفحات معمولاً کاملاً مشابه — یا بسیار نزدیک — به عباراتی است که کاربران جست‌وجو می‌کنند.روش دوم، به‌کارگیری کمپین‌های ایمیلی مخرب است. در این حالت، حمله با ارسال یک ایمیل حاوی لینک به یک وب‌سایت جعلی آغاز می‌شود.برخی از صفحات مخربی که در این کمپین شناسایی کرده‌ایم، خود را به‌عنوان وب‌سایت‌های آنتی‌ویروس یا برنامه‌های مدیریت رمز عبور جا می‌زنند. محتوای این صفحات با هشدارهای جعلی طراحی شده تا کاربر را از وجود یک مشکل امنیتی ساختگی بترساند.در نتیجه، مهاجمان از تاکتیک شناخته‌شده‌ای به نام اسکروِر[1]نیز استفاده می‌کنند: وادار کردن کاربر به نصب یک نرم‌افزار ناامن، در حالی که آن را راه‌حلی برای رفع یک تهدید خیالی معرفی می‌کنند.

وب‌سایت‌های جعلی ساخته‌شده با  Lovable

با وجود تفاوت‌های محتوایی، صفحات جعلی این کمپین چند ویژگی مشترک دارند. برای شروع، آدرس آن‌ها معمولاً الگوی مشابهی دارند.علاوه بر این، ظاهر صفحات جعلی بسیار حرفه‌ای است. جالب اینکه طراحی آن‌ها نسخه‌برداری کامل از وب‌سایت‌های اصلی نیست بلکه بازآفرینی‌های بسیار قانع‌کننده و مشابه نسخه‌های واقعی هستند. نمونه‌ای از این موضوع صفحات جعلی کیف پول رمز‌ارز Lace است.بررسی‌ها نشان می‌دهد مهاجمان از یک سازنده وب مبتنی بر هوش مصنوعی برای تولید این صفحات استفاده کرده‌اند. به دلیل چند نشانه باقی‌مانده، توانستیم به‌طور دقیق مشخص کنیم که سرویس مورد استفاده آن‌ها Lovable  بوده است.استفاده از یک ابزار هوش مصنوعی باعث شده آن‌ها بتوانند صفحات جعلی را با سرعت بالا و در مقیاس انبوه تولید کنند.

ابزار راهبری از راه دور Syncro

یکی دیگر از ویژگی‌های مشترک میان صفحات جعلی این کمپین، انتشار یک پی‌لود کاملاً مشابه است. مهاجم نه تروجان اختصاصی ساخته و نه از بازار سیاه بدافزار خریداری کرده است. در عوض، آن‌ها از نسخه شخصی‌سازی‌شده یک ابزار قانونی دسترسی از راه دور به نام Syncro  استفاده می‌کنند.نسخه اصلی این برنامه برای پایش متمرکز و دسترسی از راه دور تیم‌های پشتیبانی IT و شرکت‌های ارائه‌دهنده خدمات مدیریت‌شده (MSP) طراحی شده است. این سرویس نسبتاً ارزان است و از ۱۲۹ دلار در ماه با تعداد نامحدود دستگاه پشتیبانی می‌کند.

Syncro  قابلیت‌های قدرتمندی دارد: از اشتراک‌گذاری صفحه و اجرای دستورهای از راه دور گرفته تا انتقال فایل، تحلیل لاگ‌ها، ویرایش رجیستری و دیگر اقدامات پس‌زمینه. با این حال، مزیت اصلی آن فرآیند نصب و اتصال ساده است. کاربر — یا در این مورد قربانی — تنها کافی است فایل نصب را دانلود و اجرا کند.از آن لحظه، نصب در پس‌زمینه ادامه پیدا می‌کند و نسخه مخرب Syncro  به‌صورت مخفیانه روی دستگاه بارگذاری می‌شود. این نسخه دارای یک CUSTOMER_ID  متعلق به مهاجم است و به همین دلیل، مهاجم بلافاصله کنترل کامل سیستم قربانی را به دست می‌آورد.پس از نصب  Syncro، مهاجمان به‌طور کامل به دستگاه دسترسی دارند و می‌توانند اهداف خود را دنبال کنند. با توجه به شواهد، هدف اصلی آن‌ها سرقت کلیدهای کیف پول رمز‌ارز و انتقال دارایی‌ها به حساب‌های خودشان است.

راهکارهای امنیتی

این کمپین به دو دلیل، تهدید جدی‌تری برای کاربران محسوب می‌شود:

1. صفحات جعلی ساخته‌شده با ابزارهای هوش مصنوعی بسیار حرفه‌ای به نظر می‌رسند و آدرس آن‌ها نیز مشکوک به نظر نمی‌رسد. هرچند طراحی و دامنه‌ها با نسخه واقعی متفاوت‌اند، اما این تفاوت‌ها معمولاً تنها در مقایسه مستقیم آشکار می‌شود.
2. مهاجمان از یک ابزار کاملاً قانونی برای آلوده‌سازی دستگاه استفاده می‌کنند که تشخیص آن را دشوار می‌کند.

راهکار امنیتی ما در چنین مواردی اعلان خاصی با عنوان Not-a-virus  نمایش می‌دهد. این هشدار زمانی فعال می‌شود که ابزارهای قانونی دسترسی از راه دور - از جمله Syncro -  روی دستگاه شناسایی شوند. نسخه‌های تغییر‌یافته Syncro که برای اهداف مخرب استفاده می‌شوند، با عنوان HEUR:Backdoor.OLE2.RA-Based.gen  شناسایی می‌شوند.توجه داشته باشید که آنتی‌ویروس به‌طور پیش‌فرض همه ابزارهای قانونی مدیریت از راه دور را مسدود نمی‌کند تا در استفاده‌های مجاز اختلال ایجاد نشود. بنابراین توصیه می‌کنیم پیام‌های هشدار امنیتی را جدی بگیرید. اگر دیدید نرم‌افزارهایی با برچسب Not-a-virus شناسایی شده‌اند، بررسی کنید که آیا واقعاً خودتان آن‌ها را نصب کرده‌اید یا خیر.اگر ازکسپرسکی پریمیوم استفاده می‌کنید، قابلیت Remote Access Detection  و گزینه حذف برنامه‌های مشکوک در دسترس شماست. این قابلیت حدود ۳۰ ابزار رایج دسترسی از راه دور را شناسایی می‌کند و اگر برنامه‌ای را خودتان نصب نکرده باشید، باید آن را جدی بگیرید.

و در نهایت:

• برنامه‌ها را از منابع ناشناس یا غیررسمی دانلود نکنید، به‌ویژه روی دستگاه‌هایی که برنامه‌های مالی یا رمز‌ارز روی آن‌ها نصب شده‌اند.
• قبل از دانلود هر برنامه یا وارد کردن اطلاعات شخصی، آدرس وب‌سایتی را که در آن قرار دارید به دقت بررسی کنید.
• به هشدارهای آنتی‌ویروس و قابلیت‌های ضد فیشینگ توجه ویژه داشته باشید.

[1] Scareware

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.