19 اردیبهشت 1403

قرارگاه جنبش انقلابیون (قجا)

قرارگاه امنیتی و سایبری جنبش انقلابیون جمهوری اسلامی ایران

مراقب دانلودهای جعلی ویندوز 11 باشید

مرکز روابط عمومی و اطلاع رسانی قرارگاه جنبش انقلابیون (قجا) جمهوری اسلامی ایران 1 شهریور 1399

دامنه‌های فیشینگ، نصب کننده های ویندوز 11 را که با بدافزار Vidar infostealer بارگذاری شده اند، پخش می‌کنند. 

به گفته شرکت امنیت سایبری Zscaler ThreatLabz، عوامل تهدید تلاش می کنند تا از طریق دامنه های تازه ثبت شده، بدافزارهای سرقت اطلاعات را روی دستگاه های کاربران نصب کنند. Zscaler توضیح داد که این دامنه‌های جعلی برای اولین بار در آوریل 2022 مشاهده شدند و برای توزیع «فایل‌های ISO مخرب» (یک باینری PE32) که به‌عنوان نصب‌کننده‌های قانونی سیستم عاملMicrosoft Windows 11 پنهان شده بودند، ایجاد شدند. این فایل های مخرب Vidar infostealer را روی دستگاه ارائه می دهند.

برخی از دامنه های جعلی ثبت شده در 20 آوریل شامل ms-win11com، win11-servcom، win11installcom و ms-teams-appnet هستند.

شایان ذکر است که بدافزار Vidar قبلاً در حملات علیه YouTubers (یوتیوبرها) و در کلاهبرداری VPN استفاده شده بود که در آن یک وب سایت جعلی VPN کشف شد که بدافزار سرقت رمز عبور را ارائه می دهد.

بدافزار Vidar چیست؟

یک بدافزار است که می تواند از کاربران جاسوسی کند و اطلاعات کاربر را به دست بیاورد. وظیفه اصلی آن سرقت داده های حساس کاربر مانند اطلاعات سیستم عامل، اعتبار حساب های آنلاین، تاریخچه مرورگر، داده های مالی یا بانکی و جزئیات ورود به کیف پول ارزهای دیجیتال است. عموماً از طریق کیت بهره برداری Fallout توزیع می شود.

Vidar Infostealer چگونه توزیع می شود؟

بدافزار Vidar از طریق شبکه های اجتماعی فیشینگ و کنترل شده توسط مهاجمان تحویل داده می شود. محققان ZScaler خاطرنشان کردند که انواع بدافزار Vidar پیکربندی C2 را از کانال‌های رسانه‌های اجتماعی در شبکه Mastodon و تلگرام استخراج می‌کنند.

در دو موردی که توسط Zscaler بررسی شد، مهاجمان حساب های کاربری جدیدی ایجاد کردند و آدرس های سرور C2 را در قسمت پروفایل در کانال های Mastodon و تلگرام ذخیره کردند. همان C2 در تب Channel Description ذخیره شد. این به مهاجمان کمک می‌کند تا بدافزار را در دستگاه‌های آسیب‌پذیر کار بگذارند، زیرا این دستگاه‌ها پیکربندی C2 را از کانال‌ها دریافت می‌کنند.

طبق پست وبلاگ Zscaler، کسانی که پشت این کمپین قرار دارند، از نسخه های بتای نرم افزارهای قانونی مانند Adobe Photoshop و Microsoft Teams برای توزیع بدافزار Vidar استفاده می کنند. اگرچه به نظر می‌رسد سایت های جعلی پورتال مرکزی دانلود هستند، اما این فایل ISO است که آسیب می زند زیرا بار بدافزار و Themida را پنهان می کند.
 
این فایل ISO حاوی یک فایل اجرایی با اندازه غیرمعمول (بیش از 300 مگابایت) است تا از شناسایی آنتی ویروس ها جلوگیری کند. این فایل با گواهی منقضی شده از Avast امضا شده است و همه باینری ها توسط گواهینامه ای با همان شماره سریال امضا شده اند.

محققان بر این باورند که این گواهی می‌تواند بخشی از داده‌های لو رفته در زمانی که Avast در اکتبر 2019 مورد هدف قرار گرفت باشد. فایل‌های ISO که وانمود می‌کنند نصب‌کننده‌های Win 11 هستند، همچنین دارای یک مخزن GitHub هستند که نسخه‌های بتای Adobe Photoshop و سایر نرم‌افزارها را ذخیره می‌کند.

چگونه ایمن بمانیم؟

بهترین استراتژی برای کاهش تهدید بدافزارVidar دانلود نرم‌افزار از وب‌سایت‌های رسمی و اجتناب از استفاده از نسخه‌های کرک شده یا رایگان است، زیرا این‌ها فریب‌های بالقوه برای بهره‌برداری هستند. افراد توزیع کننده بدافزار Vidar توانایی خود را در نصب Vidar stealer با استفاده از تم های مرتبط با آخرین نرم افزارهای محبوب نشان داده اند.

مثل همیشه، کاربران باید هنگام دانلود نرم افزارهای کاربردی از اینترنت محتاط باشند.

https://313-313.ir/

Tags:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

مطالب برتر

چگونه SMB‌ها می‌توانند خطر حملات سایبری و نقض داده‌ها را کاهش دهند

1 اردیبهشت 1403 مرکز روابط عمومی و اطلاع رسانی قرارگاه جنبش انقلابیون (قجا) جمهوری اسلامی ایران

فناوری آموزشی EdTech

15 فروردین 1403 مرکز روابط عمومی و اطلاع رسانی قرارگاه جنبش انقلابیون (قجا) جمهوری اسلامی ایران

3 ابزار برتر امنیت سایبری برای محافظت از داده‌های کسب‌ و کار

1 فروردین 1403 مرکز روابط عمومی و اطلاع رسانی قرارگاه جنبش انقلابیون (قجا) جمهوری اسلامی ایران