هشدار در مورد بدافزارهای پنهان که فعالیت های غیرقانونی انجام می دهند

به گزارش ای بی اس نیوز، بدافزارها شامل نرم افزارهای جاسوسی یا ابزارهای تبلیغاتی مانند ردیابی کوکی ها هستند که علایق کاربران را در رایانه دنبال می کنند. بدافزار به اختصار نرم افزار مخرب است. این اصطلاح یک اصطلاح کلی برای همه ویروس ها، کرم ها، نرم افزارهای جاسوسی و تقریباً هر چیزی است که به طور خاص برای آسیب رساندن به رایانه یا سرقت اطلاعات طراحی شده است.

کلمه ویروس کامپیوتری اغلب به جای بدافزار استفاده می شود، اگرچه در واقعیت این دو اصطلاح یکسان نیستند و در دقیق ترین مفهوم، ویروس برنامه ای است که به طور مداوم خود را تکثیر می کند و با انتشار از یک فایل به فایل دیگر، رایانه را آلوده می کند. ، سپس هنگامی که فایل ها از یک رایانه به رایانه دیگر کپی می شوند و بین دو یا چند رایانه به اشتراک گذاشته می شوند، از رایانه آلوده به رایانه های دیگر منتقل می شوند و این روند ادامه می یابد.

در همین راستا اخیراً اعلام شد که بات نتی به نام Socks5Systemz ده ها هزار سیستم را آلوده کرده است. این بدافزار پس از آلوده شدن سیستم به صورت مخفیانه از آن به عنوان پروکسی استفاده می کند و فعالیت های غیرقانونی و مخرب انجام می دهد.

به طور خاص، این بدافزار رایانه ها را آلوده کرده و آنها را به پراکسی های انتقال ترافیک برای ایجاد ترافیک مخرب، غیرقانونی یا ناشناس تبدیل می کند. این سرویس را به مشترکینی می فروشد که برای دسترسی به آن بین 1 تا 140 دلار در روز به صورت رمزنگاری پرداخت می کنند. طبق گزارش منتشر شده توسط BitSight، بات نت Socks5Systemz حداقل از سال 2016 فعال بوده است.

ربات Socks5Systemz توسط بدافزار PrivateLoader و Amadey توزیع می شود که اغلب از طریق فیشینگ، کیت های سوء استفاده، آلودگی فایل های بدافزار، فایل های اجرایی آلوده به تروجان، دانلود از شبکه های P2P و غیره توزیع می شوند. نمونه هایی که توسط BitSight مشاهده می شود “previewer.exe” نام دارند و وظیفه آنها تزریق ربات پروکسی به حافظه میزبان و ایجاد پایداری برای آن از طریق یک سرویس ویندوز به نام “ContentDWSvc” است.

دستور connect بسیار مهم است و به ربات دستور می دهد تا از طریق TCP/port 1074 با سرور پشتیبان ارتباط برقرار کند. پس از اتصال به زیرساخت، دستگاه آلوده اکنون می تواند به عنوان یک سرور پراکسی استفاده شود و به دیگران فروخته شود. هنگام اتصال به سرور backconnect، از فیلدهایی استفاده می کند که آدرس IP، رمز عبور پروکسی، لیست پورت های مسدود شده و غیره را مشخص می کند. این تنظیمات تضمین می‌کند که فقط ربات‌های لیست سفید با اعتبار ورود لازم می‌توانند با سرورهای کنترل تعامل داشته باشند و مسدود شوند.

او یک زیرساخت کنترلی گسترده از 53 ربات پروکسی، بک لینک، DNS و سرورهای کسب آدرس را که عمدتاً در فرانسه و سراسر اروپا (هلند، سوئد، بلغارستان) واقع شده اند، ترسیم کرد. بر اساس گزارش مرکز هماهنگی و پاسخگویی به حوادث رایانه ای (CEC) از اوایل اکتبر، تحلیلگران 10000 تلاش ارتباطی جداگانه در پورت 1074/TCP با سرورهای بککانکت شناسایی شده ثبت کرده اند که نشان دهنده تعداد مساوی قربانیان است. دسترسی به سرویس پروکسی Socks5Systemz در دو سطح اشتراک، یعنی “Standard” و “VIP” فروخته می شود، که در آن مشتریان از طریق درگاه پرداخت ناشناس (بدون KYC) “Cryptomus” پرداخت می کنند. مشترکین باید آدرس IP را که ترافیک پروکسی از آنجا می آید را ارائه کنند تا به لیست سفید ربات اضافه شود.

مشترکین استاندارد به یک کانال و یک نوع پروکسی محدود می شوند، در حالی که کاربران VIP می توانند از 5000 تا 100 کانال استفاده کنند و نوع پروکسی را روی SOCKS4، SOCKS5 یا HTTP تنظیم کنند.

شایان ذکر است که محققان امنیتی اخیراً درباره کمپین به‌روزرسانی جعلی مرورگر کروم هشدار داده‌اند که از بدافزار جدیدی به نام FakeUpdateR برای فریب کاربران برای دانلود یک تروجان دسترسی از راه دور استفاده می‌کند. این کمپین پس از آن آشکار شد که بدافزار قبلاً چندین وب سایت را تحت تأثیر قرار داده بود که سپس توسط Google مورد توجه قرار گرفت.

ظهور این بدافزار جدید جعلی به‌روزرسانی گوگل کروم یادآوری می‌کند که به‌روزرسانی مرورگرها با استفاده از روش‌های استاندارد مهم است، به همین دلیل است که کارشناسان به کاربران توصیه می‌کنند به طور مرتب افزونه‌ها و تم‌های مورد استفاده در سایت‌های خود را نظارت کنند. همچنین مهم است که به طور مرتب از وب سایت ها پشتیبان تهیه کنید و تنظیمات فایروال را به درستی پیاده سازی کنید تا از حملات بدافزاری مانند FakeUpdateRU جلوگیری کنید.

انتهای پیام