سواستفاده از ترافیک نرم افزارهای کرک شده برای توزیع بدافزارها و استخراج رمزارز

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir traffic exchange networks distributing malware disguised as cracked software 1

یک کمپین که تا بدین لحظه در حال اجرا است، برای استفاده از شبکه ای از وب سایت ها به عنوان ″dropper as a service" برای ارائه مجموعه ای از payload های بدافزار به قربانیانی که به دنبال نسخه های "کرک شده" برنامه های تجاری و معروف محبوب هستند، استفاده می کند.

محققان شرکت امنیت سایبری Sophos در گزارشی که در هفته جاری منتشر کردند، گفتند: "این بدافزار شامل مجموعه ای از بات های کلاهبرداری مبتنی بر کلیک، سرقت کننده سایر اطلاعات و حتی باج افزار میباشد".

این حملات با طعمه قرار دادن تعدادی از صفحات که در وردپرس میزبانی میشوند و حاوی لینک های "دانلود" بسته های نرم افزاری هستند، فعالیت و کار می کنند. با کلیک روی آن لینک ها، قربانیان به وب سایت دیگری هدایت می شوند که افزونه ها و بدافزارهای مرورگر که به طبع خواسته کاربر نیست را ارائه می دهد. از این موارد میتوان به نمونه هایی مانند نصب کننده های Raccoon Stealer ،Stop بدافزار ، Glupteba backdoor، و انواع استخراج کنندگان و ماینرهای مخرب رمزارز که در ظاهر به عنوان راه کارهای آنتی ویروس به نمایش در می آیند.

به گزارش هکر نیوز، این محققان می گویند: "از بازدیدکنندگانی که وارد این سایت ها می شوند خواسته می شود تا گزینه اعلان ها (notifications) را مجاز اعلام کنند؛ اگر کاربران اجازه دهند که این اتفاق بیفتد، وب سایت ها بارها هشدارهای غلط و ساختگی بدافزار را نمایش میدهند. با کلیک کاربران بر روی هشدارها، از طریق یک سری وب سایت ها هدایت می شوند تا به مقصدی برسند که توسط سیستم عامل بازدیدکنندگان، نوع مرورگر و موقعیت جغرافیایی تعیین می شود".

takian.ir traffic exchange networks distributing malware disguised as cracked software 2

با استفاده از تکنیک هایی مانند بهینه سازی موتور جستجو، هنگامی که افراد نسخه های کرک شده از طیف گسترده ای از برنامه های نرم افزاری را جستجو می کنند، لینک به وب سایت های مدنظر، در بالای نتایج جستجو و در اولویت نتایج ظاهر شوند. این فعالیتها، که محصول یک بازار زیرزمینی برای خدمات دانلود پولی محسوب می شود، به مهاجمان سایبری سطح ابتدایی اجازه می دهد تا کمپین های خود را بر اساس هدف جغرافیایی خود، راه اندازی و تنظیم کنند.

تبادلات ترافیکی، همانطور که از آن با عنوان زیرساخت توزیع نیز نام برده می شود، معمولاً قبل از امکان ایجاد حساب در سرویس و آغاز توزیع نصب کننده، نیاز به پرداخت بیت کوین دارد، با سایت هایی مانند InstallBest توصیه هایی در مورد بهترین شیوه ها معرفی میکنند؛ مواردی مانند توصیه تدابیری در برابر استفاده از هاست های مبتنی بر Cloudflare برای دانلودرها و همچنین استفاده از URL ها در CDN دیسکورد، Bitbucket یا سایر پلتفرم های ابری.

takian.ir traffic exchange networks distributing malware disguised as cracked software 3

 

takian.ir traffic exchange networks distributing malware disguised as cracked software 4

علاوه بر این، محققان همچنین تعدادی از خدمات را پیدا کرده اند که به جای ارائه شبکه های تحویل بدافزار خود، به عنوان "go-between" برای شبکه های تبلیغات بدافزار ایجاد شده اند، عمل کرده و به پابلیشرهای وب سایت هزینه ترافیک پرداخت می کنند. یکی از این تأمین کنندگان ترافیک، InstallUSD میباشد که یک شبکه تبلیغاتی مستقر در پاکستان است و با تعدادی از کمپین های مخرب مرتبط با سایت های نرم افزاری کرک شده مرتبط شده است.

این اولین باری نیست که وب سایت های "warez" توسط عاملان تهدید به عنوان انتقال دهنده آلودگی مورد استفاده قرار می گیرند. در اوایل ماه ژوئن، یک ماینر ارز دیجیتال به نام Crackonosh از این روش برای نصب پکیج استخراج رمزارز با نام XMRig برای سواستفاده مخفیانه از منابع آلوده میزبان برای استخراج Monero استفاده و بهره برداری کرد.

یک ماه بعد، مشخص گردید مهاجمانی که در پس قسمتی از بدافزار موسوم به MosaicLoader بوده اند، اشخاصی را که در جستجوی نرم افزارهای کرک شده بودند را به عنوان بخشی از یک کمپین جهانی برای استقرار یک backdoor کاملاً مجهز، هدف قرار میداده اند. این backdoor می توانست یک بات نت را سیستم های ویندوز آسیب دیده و در معرض خطر مستقر نماید.

برچسب ها: تبادلات ترافیکی, ترافیک, Crackonosh, warez, ماینر, InstallBest, Raccoon Stealer, Sophos, Miner, Glupteba, MosaicLoader, Payload, دیسکورد, Bot, Discord, وردپرس, Cloudflare, Bitbucket, cybersecurity, رمزارز, بیت‌کوین , mining, Monero, malware, ransomware , cryptocurrency, backdoor, Botnet, استخراج, باج افزار, بدافزار, امنیت سایبری, Cyber Attacks, Bitcoin, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ