https://virgool.io/feed/@ehsansahraei fa 2026-06-18 17:41:33 https://static.virgool.io/images/default-avatar.jpg https://virgool.io/@ehsansahraei https://virgool.io/@ehsansahraei/cryptoshuffler-%D8%AA%D8%B1%D9%88%D8%AC%D8%A7%D9%86-140000-%D8%AF%D9%84%D8%A7%D8%B1-%D8%A8%DB%8C%D8%AA-%DA%A9%D9%88%DB%8C%D9%86-%D8%B1%D8%A7-%D8%B3%D8%B1%D9%82%D8%AA-%DA%A9%D8%B1%D8%AF-zskkxjnri6jl تروجان CryptoShuffler تمام تلاش خود را می کند تا مورد توجه قرار نگیرد، و بیت کوین ها را با حیله گری به سرقت می برد.تصور کنید که یک روز تصمیم می گیرید از بیت کوین برای پرداخت هزینه مثلاً یک پیتزا استفاده کنید. آدرس کیف پول را از وب سایت پیتزا فروشی کپی می کنید، مقدار مورد نیاز را وارد می کنید و روی دکمه ارسال کلیک می کنید. انتقال انجام می شود، اما پیتزا نمی رسد. صاحبان پیتزا فروشی می گویند که هرگز پولی را دریافت نکرده اند. چه خبر است؟ از بچه های پیتزا فروشی عصبانی نشوید - همه چیز به CryptoShuffler بستگی دارد.برخلاف دیگر باج افزارهای رمز ارزی، این تروجان اثرات چشمگیری از خودش نشان نمیدهد، در عوض بی سر و صدا در حافظه کامپیوتر قرار می گیرد و کلیپ بورد - محل ذخیره موقت عملیات برش/ چسباندن را کنترل می کند.به محض اینکه CryptoShuffler آدرس یک کیف پول رمزنگاری شده را در کلیپ بورد مشاهده کرد (تمایز این آدرس ها با طول خط و کاراکترهای خاص بسیار آسان است)، آدرس را با آدرس دیگری جایگزین می کند. در نتیجه، انتقال ارز دیجیتال با مقدار مشخص شده توسط پرداخت‌کننده واقعاً انجام می‌شود، فقط گیرنده پیتزا فروشی نیست، بلکه سارقان پشت CryptoShuffler هستند.با مطالعه تروجان، آزمایشگاه کسپرسکی متوجه شد که این بدافزار نه تنها بیت کوین، بلکه اتریوم، زی کش، مونرو، دش، دوج کوین (بله، واقعی است) و سایر ارزهای دیجیتال را نیز هدف قرار می دهد. جایگزینی کیف پول بیت کوین سودآورترین فعالیت این تروجان است – در زمان انتشار، مهاجمان کمی بیش از 23 بیت کوین (حدود 140000 دلار با نرخ ارز فعلی) به دست آورده بودند.دیگر کیف پول‌های ارزهای دیجیتال متعلق به سازندگان CryptoShuffler حاوی مبالغی از ده‌ها تا هزاران دلار بودند.تروجان کمی بیشتر از یک سال طول کشید تا این پول را جمع آوری کند. اوج فعالیت در اواخر سال 2016 با یک رکود همراه بود، اما سپس در ژوئن 2017، CryptoShuffler دوباره بیدار شد.این تروجان به وضوح نشان می دهد که رایانه یا تلفن هوشمند آلوده لزوماً کاهش سرعت پیدا نمیکند و پیام های باج نمایش نمی دهد. برعکس، بسیاری از بدافزارها سعی می‌کنند تا حد امکان مخفیانه عمل کنند. هرچه مدت بیشتری شناسایی نشوند، پول بیشتری برای سازندگانشان به دست خواهند آورد.بنابراین توصیه ما به همه کاربران ارزهای دیجیتال این است که مراقب باشند و از خودشان محافظت کنند. محصولات کسپرسکی CryptoShuffler را به نام Trojan-Banker.Win32.CryptoShuffler.gen شناسایی می کنند و نیازی به گفتن نیست که تمام اقدامات آن را مسدود می کند.منبع: https://www.kaspersky.com/blog/cryptoshuffler-bitcoin-stealer/19976ترجمه توسط اورجینال کی: https://original-key.com اورجینال کی اورجینال کی Tue, 20 Jun 2023 17:25:58 +0330 https://virgool.io/@ehsansahraei/%D8%A8%D8%A7%D8%B2%DB%8C%DA%A9%D9%86%D8%A7%D9%86-minecraft-%D8%AF%D8%B1-%D9%85%D8%B9%D8%B1%D8%B6-%D8%AD%D9%85%D9%84%D9%87-%D9%82%D8%B1%D8%A7%D8%B1-%DA%AF%D8%B1%D9%81%D8%AA%D9%86%D8%AF-xtl1gr8zefdy مودهای Minecraft دانلود شده از چندین وب سایت محبوب بازی، حاوی بدافزار خطرناکی هستند. آنچه تاکنون می دانیم.جامعه گیمرها به‌طور فعال درباره اخبار مربوط به بدافزاری با نام Fractureiser ، که در مودهای Minecraft یافت شده است بحث می‌کند. این بدافزار از CurseForge و dev.bukkit.org دانلود شده است. به گیمرها توصیه می‌شود که فایل‌های jar جدید را از آن سایت‌ها دانلود نکنند. هر کسی که اخیراً این کار را انجام داده است باید رایانه های خود را با راه حل های ضد بدافزار بررسی کند. این بدافزار بر بازیکنان نسخه‌های بازی ویندوز و لینوکس تأثیر می‌گذارد (به نظر می‌رسد کاربران سایر سیستم‌عامل‌ها ایمن هستند).این بدافزار چگونه وارد مودها شده است؟طبق فرضیه اولیه، مجرمان سایبری ناشناس حساب های توسعه دهندگان مود در CurseForge.com و dev.bukkit.org را به خطر انداختند. این موضوع به آنها اجازه داد تا کدهای مخرب خود را در چندین حالت قرار دهند.با این حال، توسعه دهندگان Prism Launcher مشکوک هستند که ممکن است شخصی از یک آسیب پذیری ناشناخته در پلتفرم Overwolf سوء استفاده کرده باشد. آنها همچنین لیستی از مودهای آلوده به fractureiser را منتشر کردند.بدافزار fractureiser چیست و چه کار می‌کند؟علاقه مندان گزارش داده اند که پس از نصب مود و راه اندازی بازی، کدهای مخرب را از سرور راه دور دانلود و اجرا می کند. این پیلود شروع به ایجاد پوشه ها و اسکریپت ها می کند و تغییراتی را در رجیستری سیستم ایجاد می کند تا پس از راه اندازی مجدد بدافزار اجرا شود.محققان مستقل اینگونه بیان می‌کنند که در مرحله نهایی حمله، بدافزار تلاش می‌کند تا آلودگی را به همه فایل‌های jar در رایانه گسترش دهد (ظاهراً تلاش می‌کند به همه مودهای دانلود شده قبلی دسترسی پیدا کند). این بدافزار همچنین می تواند فایل های کوکی و اعتبار ذخیره شده در مرورگرها را نیز سرقت کند. علاوه بر این، می‌تواند آدرس‌های کیف پول دیجیتال را در کلیپ بورد تغییر دهد.علائم آلودگی Fractureiser:بحث به این نتیجه رسید که وجود فایل libWebGL64.jar ممکن است نشانه قطعی آلودگی در نظر گرفته شود. بدافزار این فایل را در پوشه %LOCALAPPDATA%/Microsoft Edge/ یا /AppData/Local/Microsoft Edge/ ایجاد می‌کند. برای یافتن این فایل باید به منوی "Folder options" بروید (از طریق "View"، سپس "Options" در Windows File Explorer) و گزینه "Show hidden files, folders, and drives" را فعال کنید و "Hide protected" را غیرفعال کنید. فایل‌های سیستم‌عامل» را در تب «View» تنظیم کنید.چگونه ایمن بمانیم؟اگر Minecraft بازی می کنید و از تغییرات شخص ثالث استفاده می کنید، احتمالاً اولین کاری که باید انجام دهید این است که رایانه شخصی خود را با یک نرم افزار آنتی ویروس قابل اعتماد بررسی کنید. اگر اسکن بدافزار را شناسایی و حذف کرد، ایده خوبی است که همه رمزهای عبور منابع آنلاینی که از این رایانه به آنها دسترسی داشته اید تغییر دهید.همچنین، توصیه می کنیم اخبار را دنبال کنید و از نصب مودهای جدید برای Minecraft خودداری کنید تا زمانی که وضعیت حل شود (ما فقط در مورد مودهایی که مستقیماً از سایت های فوق بارگیری می شوند صحبت نمیکنیم: عاقلانه است که آنها را از طریق نرم افزار شخص ثالث نیز نصب نکنید). مودها، افزونه‌ها و افزونه‌های بازی‌های دیگر که به همین روش توزیع می‌شوند، به نظر نمی‌رسد تحت تأثیر این حمله قرار بگیرند. با این حال، اگر کانال تحویل واقعاً به خطر بیفتد، این امکان وجود دارد که مهاجمان از روش‌های جایگزین آلودگی استفاده کنند و بازیکنان سایر بازی‌ها را نیز به خطر بیندازند.به عنوان یک قاعده کلی، تغییرات بازی توسط علاقه مندان ایجاد شده و بر روی پلتفرم های مستقل میزبانی می شوند. بنابراین، توسعه دهندگان بازی مسئولیتی در قبال امنیت آنها ندارند و ایمنی استفاده از آنها را تضمین نمی کنند. بنابراین بهتر است مودهای بازی را فقط در رایانه هایی که بر روی آنها راه حل های امنیتی نصب شده دانلود کنید.منبع: https://www.kaspersky.com/blog/curseforge-compromised-fractureiser/48388ترجمه توسط اورجینال کی: https://original-key.com اورجینال کی اورجینال کی Tue, 20 Jun 2023 15:29:44 +0330 https://virgool.io/@ehsansahraei/%D8%A8%D8%AF%D8%A7%D9%81%D8%B2%D8%A7%D8%B1-doublefinger-%D8%A7%D8%B1%D8%B2-%D8%AF%DB%8C%D8%AC%DB%8C%D8%AA%D8%A7%D9%84-%D8%B4%D9%85%D8%A7-%D8%B1%D8%A7-%D8%B3%D8%B1%D9%82%D8%AA-%D9%85%DB%8C-%DA%A9%D9%86%D8%AF-zrue7lmgaraj متخصصین Kaspersky تهدید کاملاً جدیدی در حوزه ارزهای دیجیتال را کشف کرده‌اند. این تهدید حمله‌ای پیچیده است که از لودر DoubleFinger استفاده می‌کند.بدافزار DoubleFinger از طریق ایمیلی که حاوی فایل مخرب PIF است دستگاه قربانی را آلوده میکند. وقتی قربانی فایل ضمیمه را باز می‌کند اتفاقات زیادی می افتد که تمامی این اتفاقات راه را برای سرقت کیف پول ارزهای دیجیتال قربانی باز میکند. نام سارق کریپتویی GreetingGhoul است که خود را در سیستم نصب می کند و در Task Scheduler خودش را زمان‌بندی می‌کند تا در وقت مقتضی روزانه اجرا شود.چطور GreetingGhoul کیف پول های ارز دیجیتال را سرقت می‌کند؟هنگامی که بارگذار DoubleFinger کار خود را انجام داد، GreetingGhoul مستقیما وارد بازی می شود. این بدافزار شامل دو جزء مکمل است:1- یکی که برنامه های cryptowallet را در سیستم شناسایی می کند و داده های مورد علاقه مهاجمان را می دزدد (کلیدهای خصوصی و عبارات اولیه).2- یکی که رابط برنامه های ارزهای دیجیتال را پوشش می دهد و ورودی کاربر را رهگیری می کند.در نتیجه، مجرمان سایبری پشت DoubleFinger می‌توانند کنترل کیف پول‌های دیجیتال قربانی را در دست بگیرند و وجوه خود را از آن‌ها برداشت کنند.کارشناسان Kaspersky Lab چندین نسخه تغییریافته از DoubleFinger را پیدا کردند که برخی از آنها تروجان Remcos از راه دور بر روی سیستم آلوده نصب می کنند که هدف آن دقیقاً کنترل و نظارت از راه دور است. به عبارت دیگر، Remcos به مجرمان سایبری اجازه می دهد تا تمام اقدامات کاربر را مشاهده کنند و کنترل کامل سیستم آلوده را در دست بگیرند.چگونه از کیف پول های ارزدیجیتال خود محافظت کنیم؟ارزهای دیجیتال همچنان طعمه هایی برای مجرمان سایبری هستند، بنابراین همه سرمایه گذاران رمزارزها باید به سختی در مورد امنیتشان فکر کنند. در مورد این موضوع، توصیه های زیر را برای سرمایه گذاران رمزارزها داریم:1- همیشه منتظر کلاهبرداری باشید دنیای ارزهای دیجیتال مملو از کلاهبرداران از هر نقطه‌ای است، بنابراین همیشه همه چیز را با دقت بررسی و دوباره بررسی کنید.2- تمام تخم مرغ های خود را در یک سبد قرار ندهید. از ترکیبی از کیف پول های داغ (برای تراکنش های جاری) و کیف پول های سرد (برای سرمایه گذاری های بلندمدت) استفاده کنید.3- بیاموزید که چگونه مجرمان سایبری می توانند به کیف پول های رمزنگاری سرد حمله کنند.4- خرید از منابع رسمی: کیف پول های سخت افزاری را فقط از منابع رسمی و قابل اعتماد، مانند وب سایت سازنده یا فروشندگان مجاز خریداری کنید. این موضوع برای جلوگیری از خرید یک کیف پول جعلی کریپتو است.5- علائم دستکاری را بررسی کنید: قبل از استفاده از یک کیف پول سخت افزاری جدید، آن را برای هر گونه علائم دستکاری، مانند خراش، چسب یا اجزای ناهماهنگ بررسی کنید.6- راستی‌آزمایی firmware: همیشه بررسی کنید که firmware موجود در کیف پول سخت‌افزاری قانونی و به‌روز است. این را می توان با بررسی وب سایت سازنده برای آخرین نسخه انجام داد.7- هرگز عبارت بازیابی کیف پول سخت افزاری خود را در رایانه پر نکنید. یک فروشنده کیف پول سخت افزاری هرگز آن را درخواست نمی کند.8- از رمزهای عبور، کلیدها و عبارات بازیابی تان محافظت کنید. از رمزهای عبور قوی و منحصر به فرد استفاده کنید، آنها را به صورت ایمن ذخیره کنید و البته هرگز کلیدهای خصوصی یا عبارات بازیابی خود را تحت هیچ شرایطی در اختیار کسی قرار ندهید.9- از خودتان محافظت کنید. مطمئن شوید که روی همه دستگاه‌هایی که برای مدیریت کیف پول‌های ارزدیجیتال استفاده می‌کنید، محافظت قابل اعتمادی نصب کرده اید.منبع: https://www.kaspersky.com/blog/doublefinger-crypto-stealer/48418ترجمه شده توسط اورجینال کی: http://original-key.com اورجینال کی اورجینال کی Mon, 19 Jun 2023 21:42:30 +0330