کشف بدافزار جدیدی که میتواند بدون شناسایی شدن با یک کلیک روی سیستم قربانی اجرا شود
بدافزار جدیدی کشف شده است که بسیاری از نرمافزارهای ضدویروس قادر به شناسایی آن نبوده و میتواند بهدستگاه شما آسیب جدی وارد کند. بهنظر میرسد این بدافزار آنقدر خوب ساخته شده است که برخی آن را به دولتها نسبت دادهاند. این بدافزار خود را در یک فایل ضمیمهی ایمیل مخفی میکند و قربانی فقط با باز کردن این فایل، اجازه ورود و خرابکاری را برای آن صادر کرده است.
دیجیتالترندز مینویسد، یک تیم امنیتی از پالو آلتو بهنام واحد ۴۲، بهتازگی گزارشی درمورد یک بدافزار جدید منتشر کرده است که میتواند از سد امنیتی ۵۶ آنتیویروس بزرگ جهان عبور کند. به گفتهی این تیم، نحوهی ساخت، بستهبندی و استقرار این بدافزار به تکنیکهای مختلفی که گروه APT29 از آنها استفاده میکند شباهت بسیار زیادی دارد. این تیم هکری با نام Iron Ritual و Cozy Bear نیز شناخته میشوند. این گروه به سرویس اطلاعات خارجی روسیه (SVR) نسبت داده شده است که نشان میدهد بدافزار موردبحث میتواند ساخت دولت این کشور باشد.
طبق اعلام واحد ۴۲، این بدافزار اولینبار در مه ۲۰۲۲ مشاهده شد درحالیکه خود را در یک نوع فایل بسیار عجیب ISO پنهان کرده بود. فایلهای ISO معمولاً برای انتقال دادههای کامل یک دیسک نوری مورداستفاده قرار میگیرند. این نوع فایل با بار مخربی همراه است و به اعتقاد واحد ۴۲، با استفاده از ابزاری بهنام Brute Ratel (BRC4) ایجاد شده است. BRC4 نیز بهنوعی ساخته شده است تا آنتیویروسها نتوانند آن را بهراحتی تشخیص دهند و این یعنی سازندگان این ابزار، با مهندسی معکوس نرمافزارهای ضدویروس سعی کردهاند شناسایی آن را سختتر کنند. Brute Ratel بهویژه میان گروه APT29 بسیار محبوب است و همین مورد باعث میشود ادعای ارتباط بدافزار جدید به گروه Cozy Bear اعتبار بیشتری پیدا کند.
فایل ISO آلوده وانمود میکند که رزومهی کاری شخصی بهنام Roshan Bandara است و بهمحض ورود به صندوق پستی گیرنده، کاری انجام نمیدهد؛ اما با کلیک کاربر روی این فایل، بهعنوان درایور ویندوز روی سیستم نصب خواهد شد و فایلی بهنام Roshan-Bandara_CV_Dialog را نمایش خواهد داد. احتمال فریبخوردن قربانی دراین مرحله بسیار زیاد است زیرا بهنظر میرسد یک فایل معمولی مایکروسافت ورد است، اما اگر روی آن کلیک کنید، cmd.exe را اجرا و BRC4 را نصب خواهد کرد. وقتی این کار انجام شد، احتمال رخ دادن اتفاقهای مختلف روی رایانهی شخصی قربانی وجود دارد و نوع این اتقاقها به نیت مهاجم بستگی خواهد داشت.
واحد ۴۲ اشاره میکند که یافتن این بدافزار بهدلایل متعددی نگرانکننده است زیرا در درجهی اول، احتمال زیادی وجود دارد که این ابزار به گروه APT29 مرتبط باشد. جدا از دلایل اشاره شده در بالا، فایل ISO در همان روزی ایجاد شده است که نسخهی جدید BRC4 منتشر شد. این نکته نشان میدهد که مهاجمان سایبری تحت حمایت دولتها میتوانند با زمانبندی دقیق حملههای خود، آنها را در مناسبترین زمان مستقر کنند. APT29 در گذشته از فایلهای ISO مخرب استفاده کرده است و بنابراین بهنظر میرسد همهی نشانهها، در یک راستا قرار دارند.
غیرقابل شناسایی بودن این بدافزار جدید بسیار نگرانکننده است. برای مخفی کردن یک بدافزار و جلوگیری از شناساییشدن آن ازطریق آنتیویروسها، کار زیادی باید انجام شود و این موضوع نشان میدهد، درصورتیکه این ابزارها بهدست افراد یا تیمهایی که نیت بدی دارند قرار گیرند، تهدیدهایی بسیار مهم خواهند بود.
چگونه میتوانید ایمن بمانید؟
با توجه به اینکه در سالهای اخیر، گزارشهای زیادی درمورد افزایش شدید حملههای سایبری منتشر شده است، میتوان امیدوار بود که بسیاری از کاربران اکنون از خطرهای اعتماد بیشازحد به افراد ناشناس و فایلهای ارسالی آنها، آگاهتر هستند. بااینحال، گاهی اوقات این حملهها از منابع غیرمنتظره و به شکلهای مختلفی انجام میشوند. بهعنوان مثال حملههای انکار سرویس توزیعشده (DDoS) به دفعات زیاد همیشه اتفاق میافتد، اما این نوع حملهها بیشتر برای کاربران سازمانی مشکلساز خواهند بود. گاهی اوقات، نرمافزاری که میشناسیم و به آن اعتماد داریم میتواند بهعنوان روشی برای فریبدادن ما و دانلود ابزارهای مخرب مورد استفاده قرار گیرد. اما در چنین شرایطی که بهنظر میرسد خطر در هرگوشهای درکمین است، چگونه میتوان ایمن ماند؟
اول از همه، درک این نکته اهمیت زیادی دارد که بسیاری از این حملههای سایبری در مقیاس بزرگ و برای هدف قرار دادن سازمانها انجام میشوند و بعید است که افراد عادی هدف چنین حملههایی باشند. بااینحال، دراین مورد خاص که بدافزار در یک فایل ISO بهعنوان رزومهی یک شخص پنهان شده، ممکن است کاربران مختلف در سازمانهای کوچکتر نیز آن را باز کنند. کسبوکارهای بزرگتر اغلب از واحد فناوری اطلاعات قدرتمندتری برخوردار هستند که اجازهی باز کردن فایلهای ISO ناشناس را نمیدهند.
با درنظر گرفتن موارد اشاره شده، پیروی از یک قانون واقعاً ساده که بسیاری از ما هنوز آن را گاهی فراموش میکنیم، ایدهی خوبی برای مقابله با بدافزارها است. این قانون ساده میگوید: «هرگز پیوستهایی که ایمیلهای ناشناس برای شما ارسال میکنند را باز نکنید».
این مورد میتواند برای بخش منابع انسانی سازمانها که فعالانه مشغول جمعآوری رزومهها هستند، کمی دشوار باشد اما شما بهعنوان یک فرد میتوانید این قانون را در زندگی روزمرهی خود اجرا کنید. همچنین میتوانید یکی از بهترین نرمافزارهای آنتیویروس موجود را انتخاب و آن را روی سیستم خود نصب کنید. علاوهبراین برای افزایش سطح امنیت، بهتر است از بازدید وبسایتهایی که شاید خیلی قانونی بهنظر نمیرسند خودداری و درمورد آدرسهای ایمیل ناشناس نیز با احتیاط بیشتری عمل کنید.