اپلیکیشن های پیام رسانی علاوه بر اینکه وسیله ای برای برقراری ارتباط هستند راهی برای مزاحمین هم فراهم میکنند تا از طریق آن به زندگی ما نفوذ کنند.
انگار همین دیروز بود که درباره ی بدافزار skygofree در اندروید اطلاع رسانی شد که برای جاسوسی در سیستم پیام رسان فیسبوک، اسکایپ، وایبر، واتس اپ و دیگر برنامه ها ساخته شده بود. امروز در مورد آلوده کننده چند منظوره ی جدید که توسط متخصصان کشف شده صحبت می کنیم.
این بدافزار کامپیوتر های دسکتاپ را مورد هدف قرار میدهد و از طریق تلگرام به روش هوشمندانه ای منتشر می شود.
در این مقاله توضیح عمیق تری از این بدافزار و نحوه کاراریی آن می پردازیم.
و هدف اصلی سازندگان آن این است که کاربران را متقاعد کنند که این بدافزار را اجرا کنند و برای این کار آنها از مجموعه ای از ترفند ها استفاده میکنند تا بتوانند فایل های مخرب را زیرکانه و با پوشش به صورت فایل های بی خطر نشان دهند
برای فهمیدن این ترفند باید بدانیم که بعضی از زبان ها مانند عربی، عبری و…(فارسی) و یونیکد آن ها, تمام استاندارد های محاسباتی و تقریبا تمامی حروف ها از راست به چپ نوشته می شود و این امر راهی برای جابجایی کلمات نوشته شده فراهم می کند و با استفاده از یک کاراکتر مخفی خاص که با رشته ای از حروف همراه است, به طور خودکار معکوس به نمایش در می آید.
هکرها در حمله ی اخیر از این امکان سواستفاده کردند.
فرض کنید یک مجرم اینترنتی فایل مخربی با نام Trojan.js بسازد همانطور که از پسوند فایل (js) پیداست فایل از نوع جاوا اسکریپت است و این فایل ممکن است شامل چند فایل اجرایی باشد.
یک کاربر محتاط بلافاصله شک میکند و فایل را اجرا نمی کند اما مهاجم می تواند نام فایل را برای مثال به photo_high-re*U+202E*gnp.js تغییر دهد که برای کاربر مشکوک تر هم به نظر می رسد اما در اینجا U+202E کاراکتری از نوع یونیکد است که بعد از کلمات و نقطه گذاری ها از چپ به راست نشان داده می شود که نتیجه آن اینگونه است: photo_high-resj.png
حال به نظر میاید که پسوند فایل png است و مانند یک فایل عکس معمولی نمایش داده میشود در حالی که فایل تروجان جاوا اسکریپت است.
ترفند تغییر نام تروجان با استفاده از Unicode ترفند جدیدی نیست، در دهه ی اخیر پیش از این برای پوشش ایمیل های مخرب و فایل های دانلود از آن استفاده می شده و محیط های زیادی در برابر این بدافزار ایمن شده است، اما هنگامی که تلگرام برای اولین بار هدف حمله قرار گرفت کارساز واقع شد.
به عبارت دیگر تلگرام نقطه ضعف RLO(نادیده گرفتن راست به چپ) را داشت(Right-to-Left Override)، و این همان چیزی است که متخصصان ما مورد تحقیق قرار داده اند.
آسیب پذیری تنها در نسخه ی ویندوز این نرم افزار دیده شده نه نسخه ی موبایل آن.
متخصصان نه تنها وجود این بدافزار را در تلگرام شناسایی کردن بلکه متوجه شدند که مهاجمان به طور مکرر از آن استفاده میکنند.
سیستم عامل قربانیان باید هشداری مبنی بر باز شدن فایل اجرایی از منبع ناشناخته به کاربر(که معمولا با نشان دادن اخظار به نمایش در میاید) نشان دهد، اما بسیاری از کاربران بدون نگاه کردن به پیام سیستم عامل, فایل را اجرا میکنند.
اگر پنجره ای به این شکل نمایش داده شد هیچ کاری نکنید و فکر کنید، فقط دست نگه دارید!
به محض راه اندازی بدافزار در واقعیت عکس یک گربه بامزه را نشان میدهد تا نشانه های هشدار توسط سیستم را نشان ندهد.
این تروجان ها برای اهداف مختلف ساخته میشوند تا در پشت صحنه اجرا شوند که بسته به پیکر بندی آن انواع مختلف دارند، نمونه ی اول برای استخراج رمزارزها استفاده می شوند که با اجرا کردن آن سرعت کامپیوتر پایین میاید, سیستم داغ میکند و عمل استخراج رمزارز را برای مهاجمان انجام میدهد.
نوع دوم “Backdoor” نام دارد که امکان کنترل از راه دور کامپیوتر توسط مهاجمان را فراهم میکند و آنها هر کاری از جمله از بین بردن یا نصب کردن یک برنامه و یا جمع آوری اطلاعات شخصی کاربر را انجام می دهند و این نوع میتواند برای مدت زمان زیادی مخفی بماند بدون اینکه کاربر به چیزی شک کند.
محققان فورا این نقطه ضعف را به توسعه دهندگان تلگرام گزارش دادند و آنها مشکل را حل کردند(که ظاهرا باعث ناراحتی مهاجمان شد) گرچه این امر به این معنی نیست که تلگرام و سایر اپ های پیام رسانی نقطه ضعف دیگری ندارند واین فقط به این معناست که تا به حال گزارشی اعلام نشده است.
پس برای ایمن سازی دربرابر آفت هایی اینچنینی کافیست از چند قانون ساده امنیتی پیروی کنیم و این قوانین در شبکه های اجتماعی, پیام رسان ها و یا هر وسیله ی ارتباطات الکتریکی صدق می کند:
آیا تجربه ای در این زمینه دارید؟ شما تا چه حد در دنیای دیجیتال به امنیت خود اهمیت میدهید؟ با توجه به شتاب روز افزون صنعت رمزارزها تا چه حد نیاز به حفظ امنیت توسط آنتی ویروس های معتبر وجود دارد؟