ایتنا - این روزها برای شهروندان ایرانی مواجهه با فیلترشکنهای حاوی بدافزار که به منظور سرقت اطلاعات و جاسوسی منتشر شدهاند، چندان تعجب آور نیست.
محققان امنیت سایبری «ترند مایکرو» در فوریه امسال یک کارزار جدید نشر بدافزار از طریق تبلیغات (malvertising) را کشف کردند که کاربران ایرانی را هدف قرار میداده و از این طریق بدافزار توزیع میکرده است. این کارزار از طریق مجموعهای از وبسایتهای جعلی که دانلود نرمافزارها را تبلیغ میکنند، فعالیت میکرده است. در این نمونه ترفند تبلیغات مخرب، کاربران ناآگاه را به سمت دانلود یک ویپیان جعلی هدایت میکرده تا افراد همراه با این فیلترشکن یک فایل حاوی بدافزار «اُپیسیجکر» (Opcjacker) را دانلود کنند. این بدافزار بهدلیل طراحی پیکربندی «آپکد» (opcode) و قابلیت سرقت ارزهای دیجیتال «اُپیسیجکر» نامگذاری شده است. آپکد بخشی از مجموعه دستورالعملهای زبان ماشین است که تعیین میکند چه دستوری باید از طریق پردازنده اجرا شود.
بدافزار به طور خودکار با وصله کردن یک کتابخانه «دیالال» (DLL) قانونی در یک ویپیان نصبشده بارگیری میشود که کتابخانه این فایل مخرب را بارگیری میکند. طبق گزارش محققان، عملکرد خاص این بدافزار شناسایی آن را دشوار میکند.
این بدافزار قابلیت گرفتن «اسکرین شات»، ثبت فعالیتهای صفحه نمایش، سرقت دادههای خصوصی و حساس کاربر از مرورگرها، و ربودن کیف پولهای ارز دیجیتال را دارد. این کارزار حداقل از اواسط سال ۲۰۲۲ فعال بوده و توسعه و قربانی گرفتن آن ادامه دارد.
نکته جالب در فعالیت نمونه اخیر این است که وبسایت این ویپیان جعلی پیش از هدایت قربانی به سوی لینک آلوده، آدرس آیپی فرد را بررسی میکرده و اگر شخص مورد نظر از فیلترشکن استفاده میکرده و آیپی او مربوط به ایران نبوده، هدف حمله قرار نمیگرفته و فقط کاربران با آیپی ایران، به سمت لینکهای آلوده هدایت میشدند.
اکتبر ۲۰۲۲ در نمونهای مشابه، یک گروه هکر ایرانی با انتشار یک فیلترشکن حاوی جاسوس افزار در تلگرام، شهروندان ایرانی را هدف قرار دادند. جاسوس افزار پنهان شده در فیلترشکن به مهاجمان امکان دسترسی به دادههای مهم دستگاه از جمله موقعیت مکانی، تماسهای تلفنی، دفترچه تلفن، فایلهای رسانهای و پیامک را میداد. علاوه بر این، مهاجمان می توانستند به دوربین و میکروفون دستگاه دسترسی داشته باشند و اقدام به ضبط صدا و تصویر کنند.
نشر بدافزار (Malvertising) چگونه کار میکند؟
Malvertising یا همان نشر بدافزار از طریق تبلیغات حملهای است که در آن مجرمان اینترنتی، کدهای مخرب را به شبکههای تبلیغات قانونی تزریق میکنند. این کد کاربران را به وبسایتهای مخرب هدایت میکند، بدون اینکه شبکههای تبلیغات از موضوع خبر داشته باشند. اکوسیستم تبلیغات آنلاین یک شبکه پیچیده است که شامل سایتهای ناشر، مبادلات تبلیغاتی، سرورهای تبلیغاتی، شبکههای هدفگیری مجدد و شبکههای تحویل محتوا است. پس از کلیک کاربر بر روی لینک تبلیغ، چندین تغییر مسیر بین سرورهای مختلف رخ میدهد. مهاجمان از این پیچیدگی برای قرار دادن لینک مخرب در بین محتوای تبلیغاتی سوءاستفاده میکنند.
در این نوع حمله، مهاجمان قطعه کوچکی از کد مخرب را در اعماق یک تبلیغ قانونی پنهان میکنند که دستگاه کاربر را به سمت یک سرور مخرب هدایت میکند. در اغلب موارد هنگامی که کاربر با موفقیت به سرور متصل می شود، یک «کیت اکسپلویت» تعبیهشده روی آن سرور اجرا میشود. کیت اکسپلویت نوعی بدافزار است که سیستم را ارزیابی و مشخص میکند که چه آسیبپذیریهایی در سیستم وجود دارد و از آسیبپذیری بهرهبرداری میبرد. از آنجا به بعد، مهاجم میتواند با استفاده از دور زدن سیستم امنیتی، بدافزار یا نرمافزارهای دلخواه را نصب کند و اقدامهای مدنظر خود را انجام دهد. تمام این اقدامها دور از دید کاربر و بدون هیچ گونه تعاملی از جانب او رخ میدهد.
روشهای جلوگیری از حمله نشر بدافزار از طریق تبلیغات چیست؟
اولین گام حفظ امنیت آنلاین، بهروز نگه داشتن سیستم عامل، برنامههای کاربردی و مرورگرها است. اگر نرمافزارهای فلش یا جاوا روی دستگاه خود دارید و از آنها استفاده نمیکنید، اقدام به حذف آن کنید؛ زیرا در این نوع حمله مهاجمان به دنبال راههایی برای سوءاستفاده از نقاط ضعف در چنین نرمافزارهاییاند.
قبل از کلیک کردن، فکر کنید! مهاجمان اینترنتی تلاش میکنند با القای هیجان شما را وادار به کلیک کردن روی لینک مورد نظرشان کنند. قبل از وارد شدن به یک تبلیغ یا لینک شناختهنشده درباره آن تحقیق کنید و سریع تصمیم نگیرید. استفاده از مسدودکنندههای تبلیغاتی نیز میتواند تاثیر زیادی در کاهش نمایش تبلیغات مخرب داشته باشد. مسدود کردن تبلیغات همچنین مزایای بیشتری از جمله کاهش تعداد کوکیهای بارگذاریشده در دستگاه و جلوگیری از ردیابی شدن و صرفهجویی در اینترنت مصرفی دارد.
اگر شما از طریق تبلیغات به صفحه دانلود یک برنامه هدایت شدید، پیش از دانلود برنامه صحت و سلامت صفحه را بررسی کنید. برای اینکار نام ابزار را جستوجو کنید تا از این طریق دریابید که نسخه اصلی برنامه به شما نمایش داده شده یا یک نسخه جعلی. همچنین از سرویسهای بررسی لینک هم میتوان برای اطمینان از سالم بودن لینکهای مشکوک استفاده کرد. سرویس ویروس توتال و نورتون از نمونههای معروف ابزارهای بررسی لینکاند.