IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Telegram

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

آمارهای نگران کننده از اعضاء کانال های پیام رسان های غیراصلی

 به گزارش سایت  Telegram Analytics کانال نرم افزار تلگرام طلایی با 14.5 میلیون عضو، دارای بیشترین تعداد کاربر در بین سایر کانال های مرتبط با ایران است و بعد از ان کانال نرم افزارهای هاتگرام با 5.5 میلیون و موبوگرام  با 3.5 میلیون عضوقرار دارند. 
Takian.ir Telegram Analytics
کاربران با نصب این نرم افزارها بجای تلگرام نسخه اصلی، بصورت اتوماتیک و بدون تمایل شخصی در این کانال ها عضو میشوند و به همین دلیل تعداد کاربران این کانال ها هر روز در حال افزایش است.
اما با کمی دقت در نمودارهای مرتبط با کانال تلگرام طلایی، نکته جالب توجه این است که تعداد کاربران کانال طی 90 روز اخیر از 12 میلیون نفر به 14.5 میلیون نفر رسیده است اما بازدیدکنندگان ان طی 90 روز گذشته  از 1.1 میلیون بازدید در روز به 600هزار بازدید کاهش یافته است.
Takian.ir Telegram Talaee
طبق اعلام خود سایت تلگرام، نرم افزارهای غیراصلی دارای امنیت کافی نبوده و امکان سوء استفاده از کاربران استفاده کننده از این کانال ها وجود دارد. بطور مثال برای بلاک نمودن و یا حذف یک کانال، میتوان بطور ناخواسته از طرف کابران عضو این نرم افزارها درخواست های زیادی را ارسال نمود یا افراد را بصورت ناخواسته در بسیاری از گروه ها و کانال ها عضو کرد و یا بعضی کانال ها را فیلتر کرده و دسترسی ها را محدود نمود و بسیاری سوء استفاده های دیگر از اصلاعات رد و بدل شده.
دلیل اصلی استفاده کاربران از این نرم افزارهای غیر اصلی، امکان ورود به تلگرام  بدون استفاده از فیلتر شکن است در صورتی که امروزه توسط آدرس های MTProto امن ارائه شده در کانال های مرتبط، براحتی میتوان بدون فیلترشکن به تلگرام متصل شد.
لذا برای داشتن امنیت بیشتر پیشنهاد میشود که نسخه های غیراصلی تلگرام را حذف نموده و تنها از نسخه های اصلی Telegram و Telegram X استفاده نمایید. برای دانلود این نرم افزارها و یا سایر نرم افزها نیز حتماً از فروشگاه های معتبر از جمله Google play و App Store اقدام نمایید.

آسیب پذیری خطرناک نشت آیپی کاربر در تلگرام

دیروز تلگرام نسخه جدید خود را با شماره 1.4 برای دسکتاپ منتشر کرد که قابلیت های جدید به ان اضافه شده است. اما یکی از مهمترین ضعف هایی که در این نسخه Patch شده است، امکان نشت اطلاعات مرتبط با IP کاربر ود که جزو یکی از باگ های خطرناک به شمار میرفت.Takian.ir telegram ip leak1
به گزارش ZDNet، تلگرام باگی را  که منجر به نشت اطلاعات آی پی آدرس ها،از طریق  کلاینت دسکتاپ این نرم‌افزار می‌شد را ترمیم کرد و به کاربران تلگرام توصیه شده است تا کلاینت دسکتاپ خود را حتما در اولین فرصت به‌روز کنند تا باگی را که منجر به نشت اطلاعات آی پی آدرس ها در بعضی از سناریو‌ها می‌شد وصله شود.

این باگ توسط یک محقق امنیت هندی کشف شده و توسط تلگرام برای ورژن های تلگرام دسکتاپ۱.۴.۰ و تلگرام دسکتاپ ۱.۳.۱۷ بتا وصله شده است.Takian.ir telegram ip leak2

در شرایط عادی ویژگی تماس صوتی تلگرام از طریق برقراری یک ارتباط نظیر به نظیر (در این مورد آی پی - به - آی پی) ارتباط دو کاربر را برقرار می‌کند و بسته‌های اطلاعاتی این دو را منتقل می‌کند.از لحاظ طراحی یک ارتباط نظیر-به-نظیر (peer-to-peer) یک ارتباط محرمانه نیست، چرا که آدرس آی پی های دو طرف ارتباط را آشکار می‌کند.Takian.ir Telegram Bug Bounty

انتخاب پیش‌فرض برای برقراری تماس صوتی در تلگرام، یک ارتباط نظیر-به -نظیر با همه مخاطبان کاربر است چراکه این نوع ارتباط کارایی بسیار خوبی دارد، پس این بدان معناست که تلگرام آدرس آی پی کاربران را به کسانی که تاکنون به عنوان مخاطب خود اضافه کرده اند از طریق تماس صوتی نشان می‌دهد.اما از آنجا که تلگرام اسمی تحت عنوان «اپلیکیشن چت ایمن ناشناس» را یدک می کشد، این شرکت مکانیزمی برای پوشاندن (maskکردن) آدرس آی پی کاربران وقتی با یکدیگر تماس می‌گیرند، اضافه کرده است (این مکانیزم تحت عنوان آپشن "nobody" وجود دارد که با فعال شدن به  اپ تلگرام می‌گوید هرگز از یک ارتباط نظیر-به نظیر برای برقراری تماس صوتی استفاده نکند.)حال این محقق هندی گفته است که آپشن"nobody"‌ فقط در کلاینت موبایل تلگرام موجود است و نه در کلاینت دسکتاپ آن به این معنی که تمامی تماس هایی که از طریق کلاینت دسکتاپ این اپ برقرار می‌شوند آدرس آی پی کاربرها را نشت می‌دهند.

این باگ جزو یکی از باگ های خطرناک محسوب می‌شود بخصوص برای افراد مهمی همچون سیاستمداران،روزنامه نگاران و فعالان حقوق بشر که از تلگرام به خاطر مسائل حریم شخصی و ناشناس بودن استفاده می‌کنند.
البته ایرانی ها نباید خیلی بابت این باگ نگرانی داشته باشند، زیرا با توجه به فیلتر بودن تلگرام، آدرس IP سرورهای VPN و فیلترشکن ها ثبت خواهد شد. اما به هر حال برای رفع نگرانی، فعلا در قسمت Voice Calls، گزینه Peer-to-Peer را بر روی Nobady قرار دهید.Takian.ir telegram ip leak Peer to Peer

------------------------------------

اخبار تکمیلی: موسس تلگرام آقای پاول دورف در کانال رسمی خود در این مورد توشیحاتی را ارائه داده است:Takian.ir telegram ip leak response

Some tech media reported that the Telegram Desktop app wasn’t secure because it “leaked IP addresses” when used to accept a voice call.Some tech media reported that the Telegram Desktop app wasn’t secure because it “leaked IP addresses” when used to accept a voice call.
The reality is much less sensational – Telegram Desktop was at least as secure as other encrypted VoIP apps even before we improved it by adding an option to disable peer-to-peer calls. As for Telegram calls on mobile, they were always more secure than the competition, because they had this setting since day one.
During a peer-to-peer (P2P) call, voice traffic flows directly from one participant of a call to the other without relying on an intermediary server. P2P routing allows to achieve higher quality calls with lower latency, so the current industry standard is to have P2P switched on by default. 
However, there’s a catch: by definition, both devices participating in a P2P call have to know the IP addresses of each other. So if you make or accept a call, the person on the other side may in theory learn your IP address. 
That’s why, unlike WhatsApp or Viber, Telegram always gave its users the ability to switch off P2P calls and relay them through a Telegram server. Moreover, in most countries we switched off P2P by default. 
Telegram Desktop, which is used in less than 0.01% of Telegram calls, was the only platform where this setting was missing. Thanks to a researcher who pointed that out, we made the Telegram Desktop experience consistent with the rest of our apps.
However, it is important to put this into perspective and realize that this is about one Telegram app (Telegram Desktop) being somewhat less secure than other Telegram apps (e.g. Telegram for iOS or Android). If you compare Telegram with other popular messaging services out there, unfortunately, they are not even close to our standards. 
Using the terminology from the flashy headlines, WhatsApp, Viber and the rest have been “leaking your IP address” in 100% of calls. They are still doing this, and you can't opt out. The only way to stop this is to have all your friends switch to Telegram.

آلوده شدن سیستم کاربر با آسیب پذیری های نرم افزارهای محبوب که تنها با یک کلیک ایجاد میشوند

محققان امنیت فناوری اطلاعات در پازیتیو سکیوریتی و لوکاس اولر چندین آسیب پذیری که با یک کلیک در برنامه های مختلف نرم افزاری معروف اجرا میشوند را شناسایی کرده اند که می توانند به مهاجم اجازه دهند کد دلخواه را در دستگاه های هدف اجرا کند.

محققان در تحقیقات خود اظهار داشتند که مشخص شده است که برنامه های دسکتاپ، به ویژه برنامه هایی که URL های ارائه شده توسط کاربر را برای باز کردن برای اجرا به سیستم عامل انتقال میدهند، در مقابل اجرای کد با تعامل کاربر آسیب پذیر هستند.

محققان توضیح دادند اجرای کد زمانی امکان پذیر می شود که URL به یک برنامه اجرایی مخرب مانند .desktop ، .exe یا .jar هدایت شود که "در قسمت اشتراک فایل قابل دسترسی به اینترنت (NFS،WebDAV ، SMB،...)" میزبانی شده و باز شود یا اینکه از یک آسیب پذیری دیگر در کنترل کننده URL برنامه باز شده، استفاده شده باشد.

 

کدام برنامه ها آسیب پذیر هستند؟

این آسیب پذیری ها بر بسیاری از برنامه های معروف از جمله VLC ، Telegram ، LibreOffice ، Nextcloud ، Bitcoin/Dogecoin Wallets، OpenOffice، Mumble و Wireshark تأثیر می گذارند. این آسیب پذیری از اعتبارسنجی ناکافی ورودی URL ناشی می شوند.

بنابراین آنچه اتفاق می افتد این است که وقتی برنامه از طریق سیستم عامل باز می شود، به طور خودکار یک فایل مخرب را اجرا می کند. به گفته محققان، بسیاری از برنامه ها نتوانستند URL ها را اعتبارسنجی کنند. به همین علت است که آنها به مهاجم اجازه می دهند یک لینک ویژه طراحی شده را اجرا نماید که به بخشی از کد حمله مرتبط است و منجر به اجرای کد دستور راه دور می شود.

 

بروزرسانی ارائه شده برای برنامه های آسیب دیده

در پی پیروی از قوانین افشای مسئولیت، اکثر برنامه های آسیب دیده برای حل این مشکل بروزرسانی شده اند. برنامه های ذکر شده، شامل موارد ذیل هستند:

  • Nextcloud - نسخه 3.1.3 دسکتاپ کاربر در 24 فوریه اصلاح شد (CVE-2021-22879).
  • تلگرام – با یک تغییر از سمت سرور تا 10 فوریه رفع شد.
  • VLC Player - پچ نسخه 3.0.13 که هفته آینده منتشر می شود.
  • OpenOffice - مشکل موجود در نسخه 4.1.10 رفع شد (CCVE-2021-30245).
  • LibreOffice - نسخه ویندوز بروزرسانی شده اما Xubuntu همچنان آسیب پذیر است (CVE-2021-25631).
  • Mumble - نسخه 1.3.4 اصلاح شده و در 10 فوریه منتشر شده است (CVE-2021-27229).
  • Dogecoin - این مشکل در نسخه 1.14.3 که در 28 فوریه منتشر شد، حل شده است.
  • Bitcoin ABC - مشکلات موجود در نسخه 0.22.15 رفع شده و در تاریخ 9 مارس منتشر شده است.
  • Bitcoin Cash - نسخه 23.0.0 بروزرسانی شده و به زودی منتشر می شود.
  • Wireshark - نسخه 3.4.4 اصلاح شده و در 10 مارس منتشر شده است (CVE-2021-22191).
  • WinSCP - در نسخه 5.17.10 رفع شده و در تاریخ 26 ژانویه منتشر شده است (CVE-2021-3331).

 

اثبات مفهوم و جزئیات فنی

محققان یک پست وبلاگ مفصل به همراه جزئیات فنی و فیلم هایی منتشر کرده اند که نشان می دهد این آسیب پذیری ها چگونه برنامه های نرم افزاری که در بالا ذکر شده اند را تحت تاثیر قرار میدهند. (مطالعه جزئیات فنی)

آیا TelegramDR و Telepado قابل اعتماد هستند؟

این روزها چندین برنامه پیام رسان اجتماعی مشابه تلگرام در حال گسترش در کشور هستد که در کانال های مختلف منتشر شده و بسیاری از مردم آنها را جایگزین تلگرام میدانند. در این بلبشوی ممنوعیت استفاده از تلگرام، بسیاری از افراد با سوء استفاده از آگاهی افراد و شوق فراوان انها در کشف پیام رسان خارجی جایزگین، اقدام به سوء استفاده های فراوانی کرده و در اصطلاح از آب گل آلود ماهی میگیرند که البته مقاصد این افراد متفاوت است اما هرچه که هست اصلا قصد خوبی نبوده و اعتماد به انها فعلا پیشنهاد نمیگردد. لذا در زیر به بررسی دو پیام رسان به نام TelegramDR و Telepado پرداخته شده است هرچند که ممکن است مطالب مشابه این مطلب را در سایت های مختلفی مشاهده کرده باشید.

Takian.ir Telepado and Telegramdr

ابتدا در مورد Telegram DR:

طبق بررسی های انجام شده، این برنامه توسط نریمان غریب (شبکه منوتو) و امین ثابتی (کارشناس فنی بی‌بی‌سی) که هر دو ساکن لندن هستند، تهیه و معرفی شده و اخیرا هم توسط کانال‌های مختلف تبلیغ شده است.
در ابتدا ادعا شده بود که این نرم افزار یک برنامه اپن‌سورس است و با همکاری مدیر عامل تلگرام آقای پاول دوروف تهیه شده! اما ریپوزیتوری گیت‌هاب آنها خالی بود و ادعای اپن‌سورس بودن آن مثل اتصالش به دوروف، فاقد مدرک بود. طی چند روز جاری هم مقداری کد در گیتهاب اضافه شده است (https://github.com/filtershekanha/TelegramDR--AndroidNative)که کاربر بی‌اطلاع، ممکن است تصور کند واقعا اپن‌سورس است.
تهیه‌کنندگان آن مدعی هستند که این برنامه همان تلگرام+سایفون است! اما نکته جالب اینجاست که اگر درست میگویند، کاربران میتوانند خودشان سایفون را بر روی گوشی نصب کرده و از تلگرام استفاده کنند و هیچ نگرانی ای نداشته باشند. حالا بد نیست به چند مورد زیر نیز توجه کنید:

- دسترسی‌های تلگرام دی آر غیر طبیعی است!یکی دیگر از دلایل عدم استفاده از تلگرام دی آر دسترسی‌های بسیار زیادی است که از گوشی تلفن همراه کاربران می‌گیرد. شما کافی‌ست این نسخه را نصب کنید و به چندین و چند دسترسی که از شما اجازه آن‌ها را می‌گیرد. به نظر می‌رسد بیش از آنکه این اپلیکیشن به خدمات دهی کاربران تمرکز کند، به “احتمالا” بعضی از دسترسی‌های موردنیاز در آینده فکر کرده است!

- تماس صوتی در این نسخه قطع است!یکی از دلایلی که معمولا در مورد این نسخه از تلگرام گفته می‌شود، این است که بدون محدودیت‌های معمول در نسخه اصلی می‌توان از همه امکانات تلگرام استفاده کرد ولی ما به عنوان نگارنده این متن، با تلاش‌های مکرری که برای تست تماس صوتی این پیام رسان انجام دادیم، موفق به ارتباطی نشدیم و عملا این امکان در نسخه‌ای که با یک سری از کارها ظاهرا بدون محدودیت شده است، همانند نسخه با محدودیت کار می‌کند!

بررسی Telepado:

این نرم افزار که اینروزها در بین کاربران به عنوان جایگزین تلگرام معرفی شده است هم بسیار مشکوک است. از این اپلیکیشن که دامنه آن در سال 2014 ثبت شده و جدیدا با استفاده از یک Shield، تمام اطلاعات ان پنهان شده و اطلاعات بسیار کمی در وب وجود دارد و مشخص نیست مربوط به کدام کشور است. البته در انتهای سایتِ دو صفحه‌ای این برنامه، متن ALL RIGHTS RESERVED (C) 2018 INTERNATIONAL TECHNOLOGY ENTERPRISE INC. (A COMPANY ESTABLISHED IN THE BRITISH VIRGIN ISLANDS) نوشته شده است که ادعا شده که مربوط به شرکتی واقع در انگلیس است اما پرچم کشور سازنده برنامه در اپل‌استور سفید است و نشان می‌دهد این برنامه ساخت یکی از کشورهای تحریم‌شده است که ایران نیز جزو یکی از این کشورهای تحریم شده است اما این پرچم سفید حداقل مارا مطمئن میکند که این محصول مرتبط با کشور انگلستان نیست. 

Takian.ir TelegramDR Telepado

با بررسی صفحه الکسای این سایت (https://www.alexa.com/siteinfo/telepado.com) مشاهده میشود که تنها ایرانی ها از ان استفاده میکنند و آمار استفاده از ان بصورت انفجاری افزایش یافته است و خیلی شک برانگیز است که چرا نرم افزاری که قصد دارد جایگزین تلگرام باشد، برخلاف سابقه وایبر و تلگرام تاکنون هیچ استفاده کننده ای غیر ایرانی نداشته است.

Takian.ir Telepado Alexa Rank

با صرف وقت بیشتر برای یافتن سابقه‌ی این دامنه و پیام‌رسان، می‌بینیم که چند جوان روسی و اوکراینی در linkedin و... کار روی پیام‌رسان Telepado را جزو رزومه خود آورده‌اند که از جمله انها میتوان به Alexander Sobolev از روسیه، Victor Queiroz از برزیل، Lev Khomich از سوییس اشاره نمود که همه در حد Developer بوده و هیچکدام Owner این پروژه نیستند و در حال حاضر هم دیگر توسعه ای بر روی این نرم افزار انجام نمیدهند.
لذا به احتمال زیاد، این پیام‌رسان یک پیام‌رسان مهجور بوده که توسط آقازاده‌ای پولدار (خارجی یا ایرانی) خریداری و تبلیغ شده است.درست شبیه پیام‌رسان‌های خارجی دیگر و... که خریداری شده و به عنوان پیام‌رسان ایرانی در حال فعالیت هستند و البته با بررسی بیشتر متوجه میشویم که Telepado اپن‌سورس نبوده و ادعاهایی که در خصوص امنیت دارد، قابل اثبات نیست.

با جستجوی بیشتر بر روی علامت تجاری Telepado، اطلاعات جالب دیگری را مشاهده میکنیم. با مراجه به اینجا مشاهده میکنیم که فردی با نام Omar Ghoshehمالک این برند است و متاسفانه اطلاعات کاملی نیز از ایشان در دسترس نیست و مشاهده میکنیم که این فرد اصلیت اماراتی داشته و ساکن اسراییل است و تاکنون بیش از 60 دامین دیگر را نیز برای خود ثبت نموده است که بسیاری از انها جدید هستند.

Takian.ir Telepado Omar ghosheh

و جالب این است که سایر دامین های ثبت شده توسط ایشان، هیچکدام توسط shield، پنهان نشده اند.

از طرفی به گفته کاربران استفاده کننده از این نرم افزار، قابلیت Delete Account در این محصول وجود نداشته و کاربر پس از ثبت نام، بالاجبار در این نرم افزار فعال میباشد. همچنین پیامک های تایید این نرم افزار با سرشماره +93 از افغانستان ارسال میشوند که باز هم با ماهیت مثلا انگلیسی این محصول در تضاد است. تمامی موارد ذکر شده در بالا دست به دست یکدیگر میدهند که به این نرم افزار مشکوک باشیم و حداقل به این شک کنیم که چگونه نرم افزاری با ماهیت پنهانی ، بدون شفاف سازی ، بدون سابقه فعالیت موفق و بدون ارائه تضمین های لازم، قرار است جایگزینی برا تلگرام باشد.

در انتها لازم به ذکر است که تحقیقات بیشتری جهت شفاف سازی در مورد این نرم افزار ارائه خواهد شد و نگارنده این خبر در شرکت تاکیان، هیچگونه پیشنهاد جهت استفاده یا عدم استفاده از این نرم افزارها را تاییدنمی نماید و تصمیم گیری نهایی بر عهده خود کاربران است.

 

آیا واقعا نباید در تلگرام بر روی فایل های PNG کلیک کرد؟

اخیراً اخباری در شبکه های مجازی دست به دست میشود که نباید بر روی فایل های با پسوند png کلیک کرد. اما فلسفه این داستان چیست و آیا فقط بر روی این نوع پسوند نباید کلیک کرد؟ یا در مورد سایر پسوند ها نیز صادق است. در این مطلب سعی داریم این موضوع را موشکافی کنیم.

امروزه برای بسیاری از افراد پیام‌رسان به ابزار اصلی ارتباطات تبدیل شده است. قطعا نفوذگران نیز سعی در سوءاستفاده از این پیام‌رسان‌ها دارند تا از این طریق به دستگاه‌‌های افراد دسترسی یابند. اخیراً تروجان اندرویدی Skygofree، از پیام‌رسان‌های Facebook، Skype، Viberو WhatsAppجاسوسی می‌کرد، حال آلودگی چندمنظوره‌ی جدیدی توسط محققین کسپرسکی کشف شده است که رایانه‌های ثابت را هدف قرار می‌‌دهد و با شیوه‌‌ای بسیار هوشمندانه از طریق تلگرام توزیع می‌شود.مروزه برای بسیاری از افراد پیام‌رسان به ابزار اصلی ارتباطات تبدیل شده است. قطعا نفوذگران نیز سعی در سوءاستفاده از این پیام‌رسان‌ها دارند تا از این طریق به دستگاه‌‌های افراد دسترسی یابند.

اخیراً تروجان اندرویدی Skygofree، از پیام‌رسان‌های Facebook، Skype، Viberو WhatsAppجاسوسی می‌کرد، حال آلودگی چندمنظوره‌ی جدیدی توسط محققین کسپرسکی کشف شده است که رایانه‌های ثابت را هدف قرار می‌‌دهد و با شیوه‌‌ای بسیار هوشمندانه از طریق تلگرام توزیع می‌شود.
در بسیاری از زبان‌ها، مانند زبان عربی کلمات از راست به چپ نوشته می‌شوند. در استاندارد Unicodeنیز می‌توان جهت نمایش حروف را تغییر داد. کافی است تنها از یک نماد نامرئی خاص استفاده شود، پس از آن تمامی حروف به‌طور خودکار در جهت معکوس نمایش داده می‌شوند. هکرها از این قابلیت سوءاستفاده می‌کنند.
Takian.ir RLO in Telegram

فرض می‌شود مجرمی فایل مخرب cute_kitten.jsرا ایجاد کرده است. این فایل یک فایل جاوااسکریپت با پسوند JSاست که قابل اجرا است. نفوذگر می‌تواند نام آن را به صورت زیر تغییر دهد:

photo_high_re*U+202E*gnp.js.

در اینجا U + 202Eهمان کاراکتر Unicodeاست که جهت نمایش را تغییر میدهد. بنابراین نام این فایل در صفحه نمایش به صورت زیر است:

photo_high_resj.png

حال به نظر می‌رسد پسوند فایل PNGو یک فایل تصویری است، در حالیکه عملکردش همان تروجان جاوااسکریپت است (یکی از وظایف اصلی سازندگان تروجان‌ها این است که کاربر را متقاعد سازند خودش یک فایل مخرب را راه‌اندازی نماید. برای انجام این کار یک فایل مخرب را بی‌ضرر جلوه می‌دهند.).استفاده از Unicodeبرای تغییر نام یک فایل اتفاق جدیدی نیست. از تقریباً ده سال پیش برای پوشاندن پیوست‌های مخرب در رایانامه‌ها و فایل‌های اینترنتی دانلودشده مورداستفاده ‌بوده است؛ اما اولین باری است که در تلگرام استفاده شده است و معلوم شد که کار هم می‌کند. این آسیب‌پذیری RLO(Right to Left Override) نام دارد.
آسیب‌پذیری RLOتنها در نسخه‌ی ویندوزی تلگرام شناسایی شده است و در برنامه‌های تلفن‌همراه وجود ندارد. محققان کسپرسکی نه تنها به وجود این آسیب‌پذیری پی‌برده‌اند بلکه متوجه شدند مجرمان از آن سوءاستفاده نیز کرده‌اند. قربانی فایل تصویر غیرحقیقی را دریافت و آن را باز می‌کند و رایانه‌‌اش آلوده می‌شود. سیستم‌عامل در زمان اجرا به کاربر هشدار می‌دهد فایل اجرایی از منبعی ناشناس است (در صورتی که در تنظیمات غیرفعال نشده باشد)؛ اما متأسفانه بسیاری از کاربران بدون توجه به این پیام هشدار  بر روی “Run”یا “Start”کلیک می‌کنند.
 Takian.ir RLO in Telegram run
پس از اجرای فایل مخرب، بدافزار تصویری را به‌منظور جلب‌توجه کاربر نشان می‌دهد. پس از آن بسته به تنظیمات تروجان گزینه‌های مختلفی وجود دارد.
پس از کشف این آلودگی توسط محققان کسپرسکی و گزارش آن به توسعه‌دهندگان تلگرام، این مشکل را برطرف کردند، یعنی کلاهبرداران دیگر نمی‌توانند از این فریب در پیام‌رسان تلگرام استفاده کنند؛ اما این بدان معنی نیست که هیچ ‌آسیب‌پذیری دیگری در تلگرام یا دیگر پیام‌رسان‌های محبوب وجود ندارد. بنابراین برای حفاظت در برابر حملات جدید توصیه می‌شود قوانین ساده‌ی ایمنی در شبکه‌های اجتماعی، پیا‌م‌رسان‌های فوری یا هرگونه وسایل ارتباطی دیگری رعایت شود: 1 - عدم دانلود از منابع ناشناس  2 - توجه به هشدارهای سیستمی زمان بازکردن یک فایل  3 - نصب یک آنتی‌‌ویروس قابل اعتماد

 

بدافزار XCSSET به سراغ تلگرام و گوگل کروم میرود

 takian.ir macos malware xcsset now targets google chrome telegram software 1

یک بدافزار که با اقداماتی چون هدف قرار دادن سیستم عامل macOS شناخته میشد، بار دیگر به روز شده است تا ویژگی های بیشتری را به مجموعه حملات خود اضافه کند. این ویژگی های جدید به مهاجم امکان می دهد داده های حساس ذخیره شده در برنامه های مختلف از جمله برنامه هایی مانند Google Chrome و Telegram را به عنوان بخشی از امکانات جدید خود با نام "اصلاحات در تاکتیک ها"، جمع آوری کرده و یا حتی از بین ببرد.

بدافزار XCSSET در ماه آگوست سال 2020 و زمانی که مشخص شد هدفگیری توسعه دهندگان Mac با استفاده از یک روش غیر معمول توزیع که شامل تزریق دیتای مخرب به پروژه های Xcode IDE‍یست که در زمان ساخت پرونده های پروژه در Xcode اجرا شده است، کشف شد.

این بدافزار دارای قابلیت های بی شماری از جمله خواندن و دامپینگ کوکی های Safari، تزریق کد مخرب جاوا اسکریپت به وب سایت های مختلف، سرقت اطلاعات از برنامه هایی مانند Notes ،WeChat ،Skype ،Telegram و رمزگذاری فایل های کاربر است.

به نقل از هکر نیوز، اوایل آوریل امسال، XCSSET یک ارتقا و برزورسانی را دریافت کرد که به کدنویسان بدافزار امکان می دهد macOS 11 Big Sur و همچنین Mac هایی را که با چیپ ست M1 کار می کنند، با دور زدن پالیسی های امنیتی جدیدی که اپل در جدیدترین سیستم عامل ایجاد کرده است، هدف قرار دهند.

محققان Trend Micro قبلاً اشاره کرده بودند که: "این بدافزار اوپن تول خود را از سرور C2 متعلق به خود که از قبل با امضای ad-hoc امضا شده را دانلود میکند؛ در حالی که اگر در نسخه های MacOS نسخه 10.15 و پایین تر بود، همچنان برای اجرای برنامه ها از اوپن کامند داخلی سیستم استفاده می کرد".

takian.ir macos malware xcsset now targets google chrome telegram software 2

بر اساس نوشته جدیدی که روز پنجشنبه توسط شرکت امنیت سایبری منتشر شد، مشخص گردید که XCSSET یک فایل مخرب AppleScript را برای فشرده سازی فولدر حاوی داده های تلگرام ("~ / Library / Group Containers / 6N38VWS5BX.ru.keepcoder.Telegram") ) را در یک فایل بایگانی ZIP و قبل از بارگذاری آن در یک سرور از راه دور تحت کنترل مهاجمین، اجرا مینماید. و به متعاقب آن عامل تهدید را قادر می سازد با استفاده از حساب های قربانی وارد سیستم شود.

با استفاده از گوگل کروم، بدافزار سعی می کند رمزهای عبور ذخیره شده در مرورگر وب را که به نوبه خود با استفاده از یک رمز عبور اصلی به نام "کلید ذخیره سازی امن" رمزگذاری می شوند، را دزدیده و با سواستفاده از مجوزهای جعلی، کاربر را به اعطای اختیارات اصلی از طریق دیالوگ باکس جعلی، برای اجرای یک دستور shell غیرمجاز جهت بازیابی رمز اصلی از iCloud Keychain، که تحت آن محتویات رمزگشایی شده و به سرور منتقل می شوند، ترغیب نماید.

جدا از کروم و تلگرام، XCSSET همچنین با بازیابی داده های گفته شده از فهرست های sandbox مربوطه خود، توانایی به سرقت بردن اطلاعات ارزشمند از برنامه های مختلف مانند Evernote ،Opera ،Skype ،WeChat و برنامه های تماس و یادداشت های خود اپل را نیز دارد.

محققان اعلام کرده اند: "کشف چگونگی سرقت اطلاعات از برنامه های مختلف، درجه و میزان تلاش بدافزار برای سرقت انواع متنوع اطلاعات از سیستم های آسیب دیده را برجسته می کند".

بدافزار تلگراب در حال قربانی گرفتن و سرقت اطلاعات کاربران

تالوس (Talos) یکی از واحد های اطلاعاتی، شرکت امنیت سایبری سیسکو است که پرده از موضوع مهمی برداشته است.
Takian.ir Telegrab

تالوس طی اطلاعیه ای اعلام کرد بدافزاری جدید به نام تلگراب یافت شده که کلید های رمز نگاری پیام رسان تلگرام (Telegram) را سرقت می کند.

محققان تالوس برای اولین بار در 4 آوریل 2018 موفق به شناسایی بدافزار تلگراب شده اند. اولین نسخه این بدافزار فایل های کوکی در مرورگرها و فایل های متنی را سرقت می کرد. نسخه دوم این بدافزار تلگرام را هدف قرار داده و کلیدهای رمزنگاری و اطلاعات حساس را سرقت می کند.

پیام رسان تلگرام در سراسر جهان محبوب بوده از طرفی فقط در کشور های ایران و روسیه با محدودیت روبه رو شده است. از این رو باید به این نکته اشاره کرد که این بدافزار در ابتدا فقط آی پی های روسیه را هدف قرار داده و سپس بقیه کشور ها را نیز در بر گرفته است.

محققان تالوس عنوان کردند بدافزار یاد شده موجب می شود امنیت و حریم خصوصی کاربران به خطر بیوفتد.

نسخه دوم تلگراب روز 10 آوریل کشف شد که به‌مراتب پیشرفته‌تر از نسخه اولیه بوده و متن، کوکی‌ها(از روی کروم)، پسورد لاگین کردن به تلگرام را از روی رایانه به سرقت می‌برد.

بدین ترتیب کاربر تلگرام متوجه نمی‌شود که پسوردش لو رفته است و حمله‌کننده به‌راحتی می‌تواند از آن سوءاستفاده کند.

کارشناسان امنیتی می‌گویند عدم ایمنی در نسخه دسکتاپ باعث شده است تا هکرهایی (Racoon Hacker یا Енот) که احتمال می‌رود از جانب دولت روسیه فعال هستند، تلگراب را نوشته و راهی فضای مجازی کرده باشند.
Takian.ir telegrab stealer

با توجه به گستردگی فعالیت این بدافزار به کاربران توصیه می شود نسبت به تغییر گذرواژه های خود اقدام کنند. ضمنا تا زمانی که تلگرام بتواند تدبیری برای این بدافزار بی اندیشد، باید از برنامه های آنتی ویروس برای مقابله با بدافزار های این چنینی استفاده کرد.

خراب کردن iPhone، iPad و Mac تنها با یک کاراکتر

​تنها فقط یک کاراکتر می‌تواند iPhone شما را خراب کند و دسترسی به برنامه پیام‌رسان در iOS و همچنین برنامه‌های محبوب مانند WhatsApp، Facebook Messenger، Outlook for iOS و Gmail را مسدود کند.Takian.ir bug iphone mac carattere indiano

این موضوع اولین بار توسط یک وبلاگ ایتالیایی به نام mobileworld.it مورد اشاره قرار گرفت که حاکی از یک باگ و اشکال بالقوه جدید بود که نه تنها بر روی آیفون‌ها، بلکه بر روى طیف گسترده‌ای از دستگاه‌های اپل، از جمله iPad ها، مکینتاش‌ها و حتی ساعت‌هاى هوشمند داراى آخرین نسخه از سیستم عامل، تاثیر می‌گذارد.
مانند باگ "بمب متنى" که قبلا منتشر شده بود، اين باگ و اشکال جدید به راحتی می‌تواند توسط هر کسی مورد سوء استفاده قرار گیرد و نیاز به این دارد تا کاربران فقط یک کاراکتر تِلـوگو –(یک زبان بومی هندی است که توسط 70 میلیون نفر در کشور هندوستان صحبت می‌شود) را ارسال کنند.
هنگامی که گیرنده یک پیام ساده حاوی این نماد را دريافت می‌کند یا آن نماد را در ویرایشگر متن تایپ می‌کند، این کاراکتر بلافاصله منجر به اختلال در iPhone ها، iPads ها، مک‌بوک‌ها، ساعت‌هاى هوشمند و تلویزیون‌های اپلي كه در حال اجراي برنامه Springboard هستند، مى‌شود.
برنامه‌هایی که بمب متنى را دریافت می‌کنند، تلاش می‌کنند تا این کاراکتر را بارگذاری کنند، اما تا زمانى كه اين كاركتر حذف نشود، نمی‌توانند به درستی كاركنند - که معمولا اين كار می‌تواند با حذف کل مکالمه انجام شود.
ساده‌ترین راه حذف این پیام جنجالی این است که از یک شخص دیگر درخواست کنید که یک پیام به برنامه‌ای که به علت بمب متنى خراب شده است، ارسال کند. اين كار  به شما این امکان را می دهد که به طور مستقیم به آن اعلان پرش کنید و کل موضوعی که حاوی کاراکتر مخرب است را بتوانید حذف کنید.
این کاراکتر می‌تواند برنامه‌های شخص ثالث مانند iMessage، Slack، فیس‌بوک مسنجر، WhatsApp، Gmail، و Outlook برای iOS، و همچنین Safari و Messages برای نسخه‌های macOS را غیر فعال كند
به نظر می‌رسد کاربران برنامه‌هاى تلگرام و اسکایپ در موضوع باگ بمب متنى با خطری روبرو نباشند و این مشکل در این نرم افزارها وجود ندارد.

Takian.ir Carattere indiano crash iPhone
ظاهرا، حداقل سه روز پیش از انتشار این خبر، شرکت اپل از این باگ مطلع بوده و قصد دارد این موضوع را در یک به روز‌رسانی iOS قبل از انتشار iOS 11.3 عرضه کند.
در مورد این موضوع نسخه بتای عمومی iOS 11.3 بدون تأثیر است.
از آنجایی که بسیاری از برنامه‌ها تحت تاثیر بمب جدیدِ متني قرار می‌گیرند، افراد سودجو می‌توانند از این اشکال سوء استفاده کنند تا کاربران اپل را از طریق ایمیل یا برنامه‌هاى پیام‌رسان مورد هدف قرار دهند. 
لذا توصیه می‌گردد کاربرانی که از محصولات این شرکت استفاده قرار می‌كنند علاوه بر افزایش اطلاعات خود در خصوص اين باگ به بروزرسانی‌ها نیز توجه ویژه داشته باشند.

سوءاستفاده مجرمان سایبری از پیامرسان تلگرام برای بدافزار ToxicEye

 

مهاجمان سایبری به طور فزاینده ای از تلگرام (Telegram) به عنوان یک سیستم command-and-control برای توزیع بدافزار در سازمان هایی سوءاستفاده می کنند، که بعدا می توانند جهت ضبط اطلاعات حساس از سیستم های هدف استفاده شوند.

محققان شرکت امنیت سایبری چک پوینت که طی سه ماه گذشته حدود 130 حمله را شناسایی کرده اند که از یک تروجان جدید از راه دور چند منظوره (RAT) به نام "ToxicEye" استفاده می کنند. در پی این مورد، آنها اعلام کرده اند: "حتی در زمان نصب یا استفاده از پیامرسان تلگرام، این سیستم به هکرها اجازه می دهد تا دستورات و عملیات مخرب را، از راه دور و از طریق این برنامه ارسال پیام، ارسال کنند".

به گزارش هکر نیوز، استفاده از تلگرام برای تسهیل فعالیت های مخرب چیز جدیدی نیست. در ماه سپتامبر سال 2019، یک سارق اطلاعات به نام ماساد استیلر پیدا شد که اطلاعات و کیف پول رمزارزها را از رایانه های آلوده با استفاده از پیامرسان تلگرام به عنوان یک کانال استخراج اطلاعات، غارت می کرد. سپس سال گذشته، گروه های مِیجکارت از همان روش برای ارسال جزئیات پرداخت هایی که سرقت شده بودند، از طریق وب سایت های در معرض خطر به مهاجمان استفاده کردند.

این استراتژی به روش های مختلف نیز جواب داده و قابل انجام است. برای شروع، تلگرام نه تنها توسط موتورهای شرکتهای تولیدکننده آنتی ویروس مسدود نمی شود، بلکه این برنامه پیامرسان به روند ناشناس ماندن کمک میکند؛ زیرا فرایند ثبت نام فقط به یک شماره تلفن همراه احتیاج دارد و در نتیجه از هر مکان در سراسر جهان به دستگاه های آلوده دسترسی می یابد.

takian.ir cybercriminals using telegram messenger for toxiceye malware

 

در آخرین کمپین کشف شده توسط شرکت امنیت اطلاعات چک پوینت، هیچ تغییر و تفاوت جدیدی دیده نشده است. ToxicEye از طریق ایمیل های فیشینگ تعبیه شده در یک فایل اجرایی مخرب ویندوز پخش شده و از تلگرام برای ارتباط با سرور command-and-control (C2) استفاده می کند و داده ها را در آن بارگذاری می نماید. این بدافزار همچنین شامل انواع سوءاستفاده هایی است که به آن امکان می دهد داده ها را سرقت نموده، فایل ها را انتقال داده و حذف کند، فرآیندها را متوقف کند، keylogger را اجرا کند، میکروفون و دوربین رایانه را برای ضبط صدا و تصویر در اختیار بگیرد و حتی فایل ها را برای باجگیری از کاربر رمزگذاری کند.

به طور ویژه زنجیره حمله با ایجاد یک ربات تلگرام توسط مهاجم آغاز می شود و قبل از اینکه آن را در یک فرم اجرایی (مثل paypal checker توسط saint.exe) وارد کند، در فایل پیکربندی RAT جاسازی می شود. سپس این فایل .EXE به یک فایل Word جهت فریب مخاطب تزریق می شود (solution.doc) که با باز شدن آن، تلگرام RAT را بارگیری و اجرا می کند (C:\Users\ToxicEye\rat.exe).

ایدان شرابی، مدیر گروه تحقیق و توسعه چک پوینت اعلام کرد: "ما یک روند رو به رشد را کشف کرده ایم که نویسندگان بدافزار از پلت فرم پیامرسان تلگرام به عنوان روند و روش جدیدی از یک سیستم command-and-control برای توزیع بدافزار در سازمان ها استفاده می کنند. ما اعتقاد داریم که مهاجمان از این موقعیت که تلگرام تقریباً در همه سازمانها مورد بصورت مجاز مورد استفاده قرار می گیرد بهره برداری کرده و از این امکان برای انجام حملات سایبری سوءاستفاده می کنند که در پی آن می توانند محدودیت های امنیتی را دور بزنند".

هدف قرار دادن کاربران تلگرام و وی‌پی‌ان سایفون در ایران

 takian.ir a new spyware is targeting iranian users of telegram and psiphon 1

بنا بر مستندات، عاملان تهدید و مشکوک به ارتباط با ایران از برنامه های پیام رسان و برنامه های VPN مانند Telegram و Psiphon برای نصب Trojan دسترسی از راه دور ویندوز (RAT) استفاده می کنند که حداقل از سال 2015، به وسیله آن قادر به سرقت اطلاعات حساس از دستگاه های اهداف خود هستند.

شرکت امنیت سایبری روسی کسپرسکی، که فعالیت های متفاوت در زمینه این اتفاقات بررسی کرده است، این مبارزات را به گروه تهدیدی مداوم پیشرفته (APT) نسبت داد که آن را تحت عنوان بچه گربه وحشی (Ferocious Kitten) میشناسند؛ گروهی از افراد فارسی زبان که ادعا می کند در این کشور مستقر هستند و به صورت تحت کنترل، فعالیت های سایبری خود را با موفقیت به انجام میرسانند.

تیم تحقیق و تجزیه و تحلیل جهانی (GReAT) کسپرسکی اعلام کرد: "هدف قرار دادن سایفون و تلگرام، که هر دو سرویس های کاملاً پرطرفداری در ایران هستند، بر این واقعیت تأکید دارد که payload ها به قصد هدف قرار دادن کاربران ایرانی ساخته شده اند".

"علاوه بر این، در محتوای فریبنده نمایش داده شده توسط فایل های مخرب اغلب از مضامین سیاسی استفاده می شود و شامل تصاویر یا فیلم هایی از مراکز مخالفین یا اعتصابات علیه حکومت ایران است، که نشان می دهد این حمله کار حامیان بالقوه از این دست جنبش های در داخل کشور است".

یافته های کسپرسکی از دو فایل آلوده که در ژوئیه 2020 و مارس 2021 در VirusTotal بارگذاری شده اند و حاوی دستور ماکرو هستند، حکایت دارد؛ که با فعال شدنش، payload های مرحله بعدی را رها می کند تا بدافزار جدیدی به نام MarkiRat را مستقر کنند.

این Backdoor به مهاجمان اجازه دسترسی گسترده به داده های شخصی قربانی را می دهد که شامل ویژگی هایی برای ضبط فعالیت کلیدها، ضبط محتوای کلیپ بورد، بارگیری و بارگذاری فایل ها و همچنین امکان اجرای دستورات دلخواه بر روی دستگاه قربانی است.

takian.ir a new spyware is targeting iranian users of telegram and psiphon 2

در اقدامی که به نظر می رسد تلاش برای گسترش فعالیت مخرب مهاجمین است، آنها همچنین با آزمایش انواع مختلف MarkiRat که رهگیری اجرای برنامه هایی مانند گوگل کروم و تلگرام با همزمانی اجرای بدافزار و حفظ آسیب پذیری و تهاجم به کامپیوتر کاربر، امکان شناسایی و حذف این بدافزار بسیار دشوارتر میکند. یکی از موارد کشف شده شامل نسخه بک‌دور سایفون نیز می باشد.

یکی دیگر از نسخه های اخیر شامل یک دانلودر ساده است که یک فایل اجرایی را از یک دامنه کدگذاری شده بازیابی می کند و در پی آن محققان متذکر شدند که "استفاده از این روش، متفاوت از موارد استفاده شده توسط این گروه در گذشته است که در آن پی‌لود توسط خود بدافزار در سیستم مستقر میشده است و این نشان می دهد که گروه ممکن است در حال تغییر برخی از TTP های خود باشد".

بعلاوه گفته می شود که زیرساخت command-and-control همچنان میزبان برنامه های اندرویدی به صورت فایلهای DEX و APK بوده است و این احتمال را افزایش می دهد که عامل تهدید به طور همزمان در حال توسعه بدافزارهایی برای هدف قرار دادن کاربران تلفن همراه میباشد.

بسیار جالب توجه است که تاکتیک های مورد استفاده توسط مهاجم با دیگر گروه هایی مانند Domestic Kitten و Rampant Kitten که علیه اهداف مشابه فعالیت می کنند، همپوشانی دارد. زیرا کسپرسکی در نحوه استفاده مهاجم از همان مجموعه سرورهای C2 برای مدت زمان طولانی و تلاش برای جمع آوری اطلاعات را از مدیر رمز عبور KeePass، مستندات مشابهی را یافته است.

محققان نتیجه گیری کردند: "Ferocious Kitten نمونه عاملی است که در یک اکوسیستم وسیع تر با هدف ردیابی افراد در ایران فعالیت می کند. چنین گروه های تهدیدگری اغلب تحت پوشش قرار نمی گیرند و بنابراین می توانند با استفاده مجدد از زیرساخت ها و ابزارها و بدون نگرانی در مورد غیرفعال شدن یا شناخته شدن توسط نرم افزارهای امنیتی، به فعالیت خود ادامه دهند".