ایتنا - این روزها برای شهروندان ایرانی مواجهه با فیلترشکن‌های حاوی بدافزار که به منظور سرقت اطلاعات و جاسوسی منتشر شده‌اند، چندان تعجب آور نیست. 

محققان امنیت سایبری «ترند مایکرو» در فوریه امسال یک کارزار جدید نشر بدافزار از طریق تبلیغات (malvertising) را کشف کردند که کاربران ایرانی را هدف قرار می‌داده و از این طریق بدافزار توزیع می‌کرده است. این کارزار از طریق مجموعه‌ای از وب‌سایت‌های جعلی که دانلود نرم‌افزارها را تبلیغ می‌کنند، فعالیت می‌کرده است. در این نمونه ترفند تبلیغات مخرب، کاربران ناآگاه را به سمت دانلود یک وی‌پی‌ان جعلی هدایت می‌کرده تا افراد همراه با این فیلترشکن یک فایل حاوی بدافزار «اُپی‌سی‌جکر» (Opcjacker) را دانلود کنند. این بدافزار به‌دلیل طراحی پیکربندی «آپ‌کد» (opcode) و قابلیت‌ سرقت ارزهای دیجیتال «اُپی‌سی‌جکر» نامگذاری شده است. آپ‌کد بخشی از مجموعه دستورالعمل‌های زبان ماشین است که تعیین می‌کند چه دستوری باید از طریق پردازنده اجرا شود.

بدافزار به طور خودکار با وصله کردن یک کتابخانه «دی‌ال‌ال» (DLL) قانونی در یک وی‌پی‌ان نصب‌شده بارگیری می‌شود که کتابخانه این فایل مخرب را بارگیری می‌کند. طبق گزارش محققان، عملکرد خاص این بدافزار شناسایی آن را دشوار می‌کند.

این بدافزار قابلیت‌ گرفتن «اسکرین شات»، ثبت فعالیت‌های صفحه نمایش، سرقت داده‌های خصوصی و حساس کاربر از مرورگرها، و ربودن کیف پول‌های ارز دیجیتال را دارد. این کارزار حداقل از اواسط سال ۲۰۲۲ فعال بوده و توسعه و قربانی گرفتن آن ادامه دارد.

نکته جالب در فعالیت نمونه اخیر این است که وب‌سایت این وی‌پی‌ان جعلی پیش از هدایت قربانی به سوی لینک آلوده، آدرس آی‌پی فرد را بررسی می‌کرده و اگر شخص مورد نظر از فیلترشکن استفاده می‌کرده و آی‌پی او مربوط به ایران نبوده، هدف حمله قرار نمی‌گرفته و فقط کاربران با آی‌پی ایران، به سمت لینک‌های آلوده هدایت می‌شدند.

اکتبر ۲۰۲۲ در نمونه‌ای مشابه، یک گروه هکر ایرانی با انتشار یک فیلترشکن حاوی جاسوس افزار در تلگرام، شهروندان ایرانی را هدف قرار دادند. جاسوس افزار پنهان شده در فیلترشکن به مهاجمان امکان دسترسی به داده‌های مهم دستگاه از جمله موقعیت مکانی، تماس‌های تلفنی، دفترچه تلفن، فایل‌های رسانه‌ای و پیامک را می‌داد. علاوه بر این، مهاجمان می توانستند به دوربین و میکروفون دستگاه دسترسی داشته باشند و اقدام  به ضبط صدا و تصویر کنند. 

نشر بدافزار (Malvertising) چگونه کار می‌کند؟
Malvertising یا همان نشر بدافزار از طریق تبلیغات حمله‌ای است که در آن مجرمان اینترنتی، کدهای مخرب را به شبکه‌های تبلیغات قانونی تزریق می‌کنند. این کد کاربران را به وب‌سایت‌های مخرب هدایت می‌کند، بدون اینکه شبکه‌های تبلیغات از موضوع خبر داشته باشند. اکوسیستم تبلیغات آنلاین یک شبکه پیچیده است که شامل سایت‌های ناشر، مبادلات تبلیغاتی، سرورهای تبلیغاتی، شبکه‌های هدف‌گیری مجدد و شبکه‌های تحویل محتوا است. پس از کلیک کاربر بر روی لینک تبلیغ، چندین تغییر مسیر بین سرورهای مختلف رخ می‌دهد. مهاجمان از این پیچیدگی برای قرار دادن لینک مخرب در بین محتوای تبلیغاتی سوء‌استفاده می‌کنند.