فیلترشکن‌های حاوی بدافزار

در ترفند تبلیغات مخرب، کاربران ناآگاه به همراه فیلترشکن، یک فایل حاوی بدافزار نیز بارگذاری می‌‌کنند

مهاجمان قطعه کوچکی از کد مخرب را در اعماق یک تبلیغ قانونی پنهان می‌کنند که دستگاه کاربر را به سمت یک سرور مخرب هدایت می‌کند - AFP

این روزها برای شهروندان ایرانی مواجهه با فیلترشکن‌های حاوی بدافزار که به منظور سرقت اطلاعات و جاسوسی منتشر شده‌اند، چندان تعجب آور نیست. حکومت ایران که دشمنی با اینترنت آزاد را تحت عنوان «صیانت و حفاظت از شهروندان» به یکی از ابزارهای سرکوب شهروندان تبدیل کرده، دستاوردی غیر از قطع دسترسی، آلودگی دستگاه‌ها و ناامنی دیجیتال برای مردم به ارمغان نیاورده است.

محققان امنیت سایبری «ترند مایکرو» در فوریه امسال یک کارزار جدید نشر بدافزار از طریق تبلیغات (malvertising) را کشف کردند که کاربران ایرانی را هدف قرار می‌داده و از این طریق بدافزار توزیع می‌کرده است. این کارزار از طریق مجموعه‌ای از وب‌سایت‌های جعلی که دانلود نرم‌افزارها را تبلیغ می‌کنند، فعالیت می‌کرده است. در این نمونه ترفند تبلیغات مخرب، کاربران ناآگاه را به سمت دانلود یک وی‌پی‌ان جعلی هدایت می‌کرده تا افراد همراه با این فیلترشکن یک فایل حاوی بدافزار «اُپی‌سی‌جکر» (Opcjacker) را دانلود کنند. این بدافزار به‌دلیل طراحی پیکربندی «آپ‌کد» (opcode) و قابلیت‌ سرقت ارزهای دیجیتال «اُپی‌سی‌جکر» نامگذاری شده است. آپ‌کد بخشی از مجموعه دستورالعمل‌های زبان ماشین است که تعیین می‌کند چه دستوری باید از طریق پردازنده اجرا شود.

بدافزار به طور خودکار با وصله کردن یک کتابخانه «دی‌ال‌ال» (DLL) قانونی در یک وی‌پی‌ان نصب‌شده بارگیری می‌شود که کتابخانه این فایل مخرب را بارگیری می‌کند. طبق گزارش محققان، عملکرد خاص این بدافزار شناسایی آن را دشوار می‌کند.

این بدافزار قابلیت‌ گرفتن «اسکرین شات»، ثبت فعالیت‌های صفحه نمایش، سرقت داده‌های خصوصی و حساس کاربر از مرورگرها، و ربودن کیف پول‌های ارز دیجیتال را دارد. این کارزار حداقل از اواسط سال ۲۰۲۲ فعال بوده و توسعه و قربانی گرفتن آن ادامه دارد.

نکته جالب در فعالیت نمونه اخیر این است که وب‌سایت این وی‌پی‌ان جعلی پیش از هدایت قربانی به سوی لینک آلوده، آدرس آی‌پی فرد را بررسی می‌کرده و اگر شخص مورد نظر از فیلترشکن استفاده می‌کرده و آی‌پی او مربوط به ایران نبوده، هدف حمله قرار نمی‌گرفته و فقط کاربران با آی‌پی ایران، به سمت لینک‌های آلوده هدایت می‌شدند.

اکتبر ۲۰۲۲ در نمونه‌ای مشابه، یک گروه هکر ایرانی با انتشار یک فیلترشکن حاوی جاسوس افزار در تلگرام، شهروندان ایرانی را هدف قرار دادند. جاسوس افزار پنهان شده در فیلترشکن به مهاجمان امکان دسترسی به داده‌های مهم دستگاه از جمله موقعیت مکانی، تماس‌های تلفنی، دفترچه تلفن، فایل‌های رسانه‌ای و پیامک را می‌داد. علاوه بر این، مهاجمان می توانستند به دوربین و میکروفون دستگاه دسترسی داشته باشند و اقدام  به ضبط صدا و تصویر کنند. 

نشر بدافزار (Malvertising) چگونه کار می‌کند؟

Malvertising یا همان نشر بدافزار از طریق تبلیغات حمله‌ای است که در آن مجرمان اینترنتی، کدهای مخرب را به شبکه‌های تبلیغات قانونی تزریق می‌کنند. این کد کاربران را به وب‌سایت‌های مخرب هدایت می‌کند، بدون اینکه شبکه‌های تبلیغات از موضوع خبر داشته باشند. اکوسیستم تبلیغات آنلاین یک شبکه پیچیده است که شامل سایت‌های ناشر، مبادلات تبلیغاتی، سرورهای تبلیغاتی، شبکه‌های هدف‌گیری مجدد و شبکه‌های تحویل محتوا است. پس از کلیک کاربر بر روی لینک تبلیغ، چندین تغییر مسیر بین سرورهای مختلف رخ می‌دهد. مهاجمان از این پیچیدگی برای قرار دادن لینک مخرب در بین محتوای تبلیغاتی سوء‌استفاده می‌کنند.

Read More

This section contains relevant reference points, placed in (Inner related node field)

در این نوع حمله، مهاجمان قطعه کوچکی از کد مخرب را در اعماق یک تبلیغ قانونی پنهان می‌کنند که دستگاه کاربر را به سمت یک سرور مخرب هدایت می‌کند. در اغلب موارد هنگامی که کاربر با موفقیت به سرور متصل می شود، یک «کیت اکسپلویت» تعبیه‌شده روی آن سرور اجرا می‌شود. کیت اکسپلویت نوعی بدافزار است که سیستم را ارزیابی و مشخص می‌کند که چه آسیب‌پذیری‌هایی در سیستم وجود دارد و از آسیب‌پذیری بهره‌برداری می‌برد. از آنجا به بعد، مهاجم می‌تواند با استفاده از دور زدن سیستم امنیتی، بدافزار یا نرم‌افزارهای دلخواه را نصب کند و اقدام‌های مدنظر خود را انجام دهد. تمام این اقدام‌ها دور از دید کاربر و بدون هیچ گونه تعاملی از جانب او رخ می‌دهد.

روش‌های جلوگیری از حمله نشر بدافزار از طریق تبلیغات چیست؟

اولین گام حفظ امنیت آنلاین، به‌روز نگه داشتن سیستم عامل، برنامه‌های کاربردی و مرورگرها است. اگر نرم‌افزارهای فلش یا جاوا روی دستگاه خود دارید و از آن‌ها استفاده نمی‌کنید، اقدام به حذف آن کنید؛ زیرا در این نوع حمله مهاجمان به دنبال راه‌هایی برای سوءاستفاده از نقاط ضعف در چنین نرم‌افزارهایی‌اند.

 قبل از کلیک کردن، فکر کنید! مهاجمان اینترنتی تلاش می‌کنند با القای هیجان شما را وادار به کلیک کردن روی لینک مورد نظرشان کنند. قبل از وارد شدن به یک تبلیغ یا لینک شناخته‌نشده درباره آن تحقیق کنید و سریع تصمیم نگیرید. استفاده از مسدودکننده‌های تبلیغاتی نیز می‌تواند تاثیر زیادی در کاهش نمایش تبلیغات مخرب داشته باشد. مسدود کردن تبلیغات همچنین مزایای بیشتری از جمله کاهش تعداد کوکی‌های بارگذاری‌شده در دستگاه و جلوگیری از ردیابی شدن و صرفه‌جویی در اینترنت مصرفی دارد.

اگر شما از طریق تبلیغات به صفحه دانلود یک برنامه هدایت شدید، پیش از دانلود برنامه صحت و سلامت صفحه را بررسی کنید. برای اینکار نام ابزار را جست‌وجو کنید تا از این  طریق دریابید که نسخه اصلی برنامه به شما نمایش داده شده یا یک نسخه جعلی. همچنین از سرویس‌های بررسی لینک هم می‌توان برای اطمینان از سالم بودن لینک‌های مشکوک استفاده کرد. سرویس ویروس توتال و نورتون از نمونه‌های معروف ابزارهای بررسی لینک‌اند.

بیشتر از تکنولوژی