گرگ های مجازی در لباس میش در کمین کاربران هستند/مراقب نرم افزارهای غیرمجاز

این تکنیک ضمن فریب قربانیان، منجر به بی اثر شدن برخی از موتورهای آنتی ویروس می شود که ساختار و محتوای فایل های اجرایی را بررسی نمی کنند.

قربانیان با تصور اینکه برنامه های مورد نیاز خود را دریافت می کنند، این فایل ها را دانلود می کنند، اما با اجرای فایل های نصب کننده نرم افزار، سیستم خود را با بدافزار آلوده می کنند. اکثر برنامه های کاربردی که توسط مهاجمان مورد سوء استفاده قرار می گیرند اغلب دارای نمادهای مربوط به محصولات Skype، Adobe Acrobat، VLC و 7zip هستند.

از بین تمامی نمونه های مخرب بارگذاری شده در VirusTotal در بازه زمانی مذکور، بیش از یک میلیون امضا شده و 87 درصد از آنها از گواهی معتبر استفاده کرده اند. گواهینامه های رایجی که برای امضای نمونه های مخرب ارسال شده به سایت مذکور استفاده می شود عبارتند از Sectigo، DigiCert، USERTrust و Sage آفریقای جنوبی.

همچنین، مراقب تبلیغاتی باشید که ممکن است در نتایج جستجو رتبه بالاتری داشته باشند، زیرا مهاجمان به راحتی می توانند سایت ها را به گونه ای که دقیقاً شبیه سایت های قانونی به نظر برسند، جعل کنند.

به گزارش VirusTotal، به نظر می رسد این روش امسال نیز رو به افزایش باشد و از گوگل کروم، Malwarebytes، Windows Updates، Zoom، Brave، Firefox، ProtonVPN و تلگرام به عنوان طعمه استفاده شود.

توزیع بدافزار از طریق سایت‌های معتبر، محبوب و دارای رتبه بالا به مهاجمان این امکان را می‌دهد تا از فهرست‌های بلاک مبتنی بر IP دور بزنند، در دسترس باقی بمانند و سطح بالاتری از اعتماد را به دست آورند.

در این کمپین، مهاجمان از تکنیک‌های به اصطلاح سئو کلاه سیاه پیروی کردند تا سایت‌هایی را که برای توزیع بدافزارشان استفاده می‌شود، رتبه بالایی در نتایج جستجوی گوگل داشته باشند و در نتیجه افراد بیشتری را فریب دهند تا فایل‌های اجرایی مخرب را دانلود کنند.

مخفی شدن در قالب نرم افزارهای قابل اعتماد و محبوب

برنامه محبوب بهینه سازی ویندوز به نام CCleaner که اخیراً در یک کمپین مورد سوء استفاده قرار گرفت نیز یکی از انتخاب های محبوب هکرها است و منجر به آلودگی و توزیع نسبتاً بالایی شده است.

در نهایت، یکی دیگر از ترفندهای توزیع‌کنندگان بدافزار مخفی کردن بدافزار در فایل‌های نصب برنامه‌های قانونی و اجرای فرآیند هک در پس‌زمینه، در حالی که برنامه‌های واقعی در پیش‌زمینه در حال اجرا هستند، است.

امضای نمونه‌های بدافزار با گواهی‌های معتبر دزدیده شده، راه دیگری برای فرار از شناسایی توسط آنتی‌ویروس‌ها و هشدارهای صادر شده توسط راه‌حل‌های امنیتی است.

کارشناسان مرکز مدیریت استراتژیک افتا می گویند: زمانی که به دنبال دانلود نرم افزار هستید، یا از فروشگاه موجود در سیستم عامل خود استفاده کنید یا آن را از صفحه دانلود رسمی برنامه دریافت کنید.

تیم تحرریه شبکه خبری فناوری اطلاعات و ارتباطات

استفاده از دامنه های معتبر