هشدار درباره بدافزار پنهانی که فعالیت غیرقانونی انجام میدهد
تاریخ انتشار: ۲۰ آبان ۱۴۰۲ | کد خبر: ۳۹۰۶۰۰۶۰
کارشناسان امنیتی به تازگی درباره بدافزاری هشدار دادهاند که میتواند بدافزار پس از آلوده کرده سیستم، به صورت پنهانی از آن به عنوان proxy استفاده کرده و فعالیتهای غیرقانونی و مخربی انجام دهد.
به گزارش ایسنا، بدافزارها شامل نرمافزارهای جاسوسی و یا برنامههای تبلیغاتی مزاحم مانند ردیابی کوکیها است که به ردیابی علاقهمندیهای کاربران در رایانه میپردازند.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
واژه ویروسهای رایانهای اغلب به جای بدافزار استفاده میشود، هرچند در واقع این دو واژه به یک معنی نیستند و در دقیقترین معنی، ویروس برنامهای است که خود را مدام تکثیر کرده و رایانه را با گسترش خود از یک فایل به فایل دیگر آلوده میکند، سپس وقتی فایلها از یک رایانه به دیگری کپی شده و بین دو یا چند رایانه به اشتراک گذاشته میشوند، از کامپیوتر آلوده به دیگران منتقل میشود و این روند همچنان ادامه پیدا میکند.
در همین راستا اخیرا اعلام شده باتنتی به نام Socks۵Systemz دهها هزار سیستم را آلوده کرده است؛ این بدافزار پس از آلوده کرده سیستم، به صورت پنهانی از آن به عنوان proxy استفاده کرده و فعالیتهای غیرقانونی و مخربی انجام میدهد.
درباره جزئیات این موضوع میتوان گفت، این بدافزار رایانهها را آلوده و آنها را به پراکسیهای انتقال ترافیک جهت ایجاد ترافیک مخرب، غیرقانونی یا ناشناس تبدیل میکند. این سرویس را به مشترکینی میفروشد که برای دسترسی به آن بین ۱ تا ۱۴۰ دلار در روز به صورت رمزنگاری پرداخت میکنند. در گزارش منتشر شده توسط BitSight، باتنت Socks۵Systemz دست کم از سال ۲۰۱۶ فعالیت داشته است.
ربات Socks۵Systemz توسط بدافزار PrivateLoader و Amadey توزیع میشود که اغلب از طریق فیشینگ، کیتهای بهرهبرداری، آلوده سازی فایلها با بدافزار، فایلهای اجرایی آلوده شده به تروجان دانلود شده و از شبکههای P۲P و غیره منتشر میشوند. نمونههایی که توسط BitSight مشاهده میشوند «previewer.exe» نام دارند و وظیفه آنها تزریق ربات پراکسی به حافظه میزبان و ایجاد پایداری برای آن از طریق یک سرویس ویندوز به نام «ContentDWSvc» است.
دستور اتصال بسیار مهم است و به ربات دستور میدهد تا یک اتصال سرور پشتیبان را از طریق پورت ۱۰۷۴/TCP برقرار کند. پس از اتصال به زیرساخت، دستگاه آلوده اکنون میتواند به عنوان یک سرور پروکسی استفاده شود و به سایرین فروخته شود. هنگام اتصال به سرور backconnect، از فیلدیهایی استفاده میکند که آدرس IP، رمز عبور پروکسی، لیست پورتهای مسدود شده و غیره را تعیین میکنند. این پارامترها تضمین میکنند که فقط رباتهای موجود در لیست مجاز و با اعتبار ورود لازم میتوانند با سرورهای کنترل تعامل داشته باشند و مسدود شوند.
یک زیرساخت کنترل گسترده از ۵۳ ربات پراکسی، بککانکت، DNS و سرورهای کسب آدرس را که عمدتاً در فرانسه و در سراسر اروپا (هلند، سوئد، بلغارستان) واقع شدهاند، ترسیم کرد. براساس اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای(ماهر) از آغاز ماه اکتبر، تحلیلگران ۱۰۰۰۰ تلاش ارتباطی متمایز بر روی پورت ۱۰۷۴/TCP با سرورهای بککانکت شناسایی شده را ثبت کردند که نشان دهنده تعداد مساوی قربانیان است. دسترسی به خدمات پراکسی Socks۵Systemz در دو سطح اشتراک، یعنی "Standard" و "VIP" فروخته میشود که مشتریان از طریق درگاه پرداخت ناشناس (بدون KYC) "Cryptomus" پرداخت میکنند. مشترکین باید آدرس IP را که ترافیک پروکسی از آنجا منشأ میگیرد، اعلام کنند تا به لیست مجاز ربات اضافه شود.
مشترکین استاندارد به یک رشته و نوع پراکسی محدود می شوند، در حالی که کاربران VIP میتوانند از ۱۰۰-۵۰۰۰ رشته استفاده کنند و نوع پروکسی را روی SOCKS۴، SOCKS۵ یا HTTP تنظیم کنند.
گفتنی است اخیرا محققان امنیتی درباره کمپین جدید به روزرسانی مرورگر کروم جعلی هشدار دادند که بدافزار جدیدی به نام FakeUpdateR برای فریب کاربران و دانلود یک تروجان دسترسی از راه دور استفاده میکند. این کمپین پس از اینکه بدافزار قبلاً وبسایتهای متعددی را تحت تأثیر قرار داده بود، آشکار شد که بعداً توسط Google نیز مورد توجه قرار گرفت.
ظهور این بدافزار جدید جعلی بهروزرسانی Google Chrome یادآور این است که ارتقاء مرورگرها با استفاده از رویههای استاندارد از اهمیت بالایی برخوردار است بنابراین کارشناسان به کاربران توصیه میکنند که به طور مرتب بر افزونهها و تمهای مورد استفاده در سایتهای خود نظارت کنند؛ همچنین پشتیبانگیری منظم از وبسایتها و پیادهسازی صحیح پیکربندیهای فایروال جهت جلوگیری از حملات بدافزارهایی مانند FakeUpdateRU بسیار مهم است.
انتهای پیام
منبع: ایسنا
کلیدواژه: بدافزارها بدافزار ویروس رایانه ای اقتصادي اجلاس سران اکو سازمان همکاری اقتصادی اکو
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.isna.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «ایسنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۹۰۶۰۰۶۰ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
هشدار نارنجی به کشاورزان، گندم و غلات را به مناطق امن حمل کنید
به گزارش خبرگزاری صدا و سیما مرکز مهاباد، با توجه به تشدید فعالیت سامانه بارشی به کشاورزان توصیه شده که برای جلوگیری از خسارت به بخش کشاورزی و احتمال بارش تگرگ ،گندم و غلات را به نقاط امن حمل کنند.
رگبار باران، رعدوبرق، وزش باد شدید موقت، گردوخاک و بارش تگرگ در نقاط مستعد از جمله مخاطرات تشدید فعالیت این سامانه بارشی خواهد بود.