کارشناسان امنیتی درباره بدافزاری هشدار داده‌اند

به گزارش سرمایه فردا، بدافزارها شامل نرم‌افزارهای جاسوسی و یا برنامه‌های تبلیغاتی مزاحم مانند ردیابی کوکی‌ها است که به ردیابی علاقه‌مندی‌های کاربران در رایانه می‌پردازند. واژه بدافزار کوتاه شده نرم‌افزار مخرب (malicious software) است. این واژه اصطلاحی عمومی برای توصیف همه ویروس‌ها، کرم‌ها، جاسوس‌افزارها و تقریباً هر چیزی که به طور خاص برای صدمه به رایانه و یا سرقت اطلاعات طراحی شده است.

واژه ویروس‌های رایانه‌ای اغلب به جای بدافزار استفاده می‌شود، هرچند در واقع این دو واژه به یک معنی نیستند و در دقیق‌ترین معنی، ویروس برنامه‌ای است که خود را مدام تکثیر کرده و رایانه را با گسترش خود از یک فایل به فایل دیگر آلوده می‌کند، سپس وقتی فایل‌ها از یک رایانه به دیگری کپی شده و بین دو یا چند رایانه به اشتراک گذاشته می‌شوند، از کامپیوتر آلوده به دیگران منتقل می‌شود و این روند همچنان ادامه پیدا می‌کند.

در همین راستا اخیرا اعلام شده بات‌نتی به نام Socks۵Systemz ده‌ها هزار سیستم را آلوده کرده است؛ این بدافزار پس از آلوده کرده سیستم، به صورت پنهانی از آن به عنوان proxy استفاده کرده و فعالیت‌های غیرقانونی و مخربی انجام می‌دهد.

درباره جزئیات این موضوع می‌توان گفت، این بدافزار رایانه‌ها را آلوده و آن‌ها را به پراکسی‌های انتقال ترافیک جهت ایجاد ترافیک مخرب، غیرقانونی یا ناشناس تبدیل می‌کند. این سرویس را به مشترکینی می‌فروشد که برای دسترسی به آن بین ۱ تا ۱۴۰ دلار در روز به صورت رمزنگاری پرداخت می‌کنند. در گزارش منتشر شده توسط BitSight، بات‌نت Socks۵Systemz دست کم از سال ۲۰۱۶ فعالیت داشته است.  

ربات Socks۵Systemz توسط بدافزار PrivateLoader و Amadey توزیع می‌شود که اغلب از طریق فیشینگ، کیت‌های بهره‌برداری، آلوده سازی فایل‌ها با بدافزار، فایل‌های اجرایی آلوده شده به تروجان دانلود شده و از شبکه‌های P۲P و غیره منتشر می‌شوند. نمونه‌هایی که توسط BitSight مشاهده می‌شوند «previewer.exe» نام دارند و وظیفه آن‌ها تزریق ربات پراکسی به حافظه میزبان و ایجاد پایداری برای آن از طریق یک سرویس ویندوز به نام «ContentDWSvc» است.  

دستور اتصال بسیار مهم است و به ربات دستور می‌دهد تا یک اتصال سرور پشتیبان را از طریق پورت ۱۰۷۴/TCP برقرار کند. پس از اتصال به زیرساخت، دستگاه آلوده اکنون می‌تواند به عنوان یک سرور پروکسی استفاده شود و به سایرین فروخته شود. هنگام اتصال به سرور backconnect، از فیلدی‌هایی استفاده می‌کند که آدرس IP، رمز عبور پروکسی، لیست پورت‌های مسدود شده و غیره را تعیین می‌کنند. این پارامترها تضمین می‌کنند که فقط ربات‌های موجود در لیست مجاز و با اعتبار ورود لازم می‌توانند با سرورهای کنترل تعامل داشته باشند و مسدود شوند.  

یک زیرساخت کنترل گسترده از ۵۳ ربات پراکسی، بک‌کانکت، DNS و سرورهای کسب آدرس را که عمدتاً در فرانسه و در سراسر اروپا (هلند، سوئد، بلغارستان) واقع شده‌اند، ترسیم کرد. براساس اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای(ماهر) از آغاز ماه اکتبر، تحلیلگران ۱۰۰۰۰ تلاش ارتباطی متمایز بر روی پورت ۱۰۷۴/TCP با سرورهای بک‌کانکت شناسایی شده را ثبت کردند که نشان دهنده تعداد مساوی قربانیان است. دسترسی به خدمات پراکسی Socks۵Systemz در دو سطح اشتراک، یعنی “Standard” و “VIP” فروخته می‌شود که مشتریان از طریق درگاه پرداخت ناشناس (بدون KYC) “Cryptomus” پرداخت می‌کنند. مشترکین باید آدرس IP را که ترافیک پروکسی از آنجا منشأ می‌گیرد، اعلام کنند تا به لیست مجاز ربات اضافه شود.

مشترکین استاندارد به یک رشته و نوع پراکسی محدود می شوند، در حالی که کاربران VIP می‌توانند از ۱۰۰-۵۰۰۰ رشته استفاده کنند و نوع پروکسی را روی SOCKS۴، SOCKS۵ یا HTTP تنظیم کنند.

گفتنی است اخیرا محققان امنیتی درباره کمپین جدید به روزرسانی مرورگر کروم جعلی هشدار دادند که بدافزار جدیدی به نام  FakeUpdateR برای فریب کاربران و دانلود یک تروجان دسترسی از راه دور استفاده می‌کند. این کمپین پس از اینکه بدافزار قبلاً وب‌سایت‌های متعددی را تحت تأثیر قرار داده بود، آشکار شد که بعداً توسط Google نیز مورد توجه قرار گرفت.

ظهور این بدافزار جدید جعلی به‌روزرسانی Google Chrome یادآور این است که ارتقاء مرورگرها با استفاده از رویه‌های استاندارد از اهمیت بالایی برخوردار است بنابراین کارشناسان به کاربران توصیه می‌کنند که به طور مرتب بر افزونه‌ها و تم‌های مورد استفاده در سایت‌های خود نظارت کنند؛ همچنین پشتیبان‌گیری منظم از وب‌سایت‌ها و پیاده‌سازی صحیح پیکربندی‌های فایروال جهت جلوگیری از حملات بدافزارهایی مانند FakeUpdateRU بسیار مهم است./ایسنا