ماتریوشکای دزد دریایی: تروجانِ عروسکی

۱۳۹۷/۱۲/۱۹امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ خیلی وقت است جنگ علیه تورنت‌ها[1] ادامه دارد؛ آنقدر که حتی اگر یک هشدار کوچک در مورد خطرات تورنت داده شود مساویست با سلب اعتماد: «و حالا دارندگان کپی‌رایت با قصه‌های ترسناکشان دوباره آمدند!» بسیارخوب، هر قصه‌ای هم نمی‌تواند دروغ باشد....

دوستان، این اندرو است. اندرو می‌خواست فایل بسیار مهمی را از ردیاب تورنت دانلود کند. آنچه اندرو نمی‌دانست این بود که برخلاف او که از تورنت‌ها برای صرفه‌جویی در پول استفاده می‌کند، سایر افراد با کمترین سطح مسئولیت اجتماعی از آن‌ها برای پول به جیب زدن توسط اندرو استفاده می‌کنند. برای مثال، آن‌ها این کار را با استفاده از نقشه‌ای که به تازگی روی [2]The Pirate Bay شناسایی‌اش کردیم انجام می‌دهند؛ جایی که اسکمرها شروع کردند به کاشتن بذر تعداد کپی کرک‌شده‌ی نرم‌افزار. آن‌ها در حقیقت به جای فایل‌های منبع اصلی از فایل‌های مخرب خودشان استفاده می‌کنند.

ماتریوشکای دزد دریایی- این بدافزار پایرت بی- چگونه عمل می‌کند؟

وقتی اندرو فایلی را که توسط هکرها دستکاری شده بود  اجرا کرد، installer برایش پنجره‌ی جعلی احراز هویت Pirate Bay نمایش داد. قهرمان ما به پنجره اعتنایی نکرد و لاگین و پسورد خود را وارد نمود که البته یک‌راست اطلاعات برای سازندگان این بدافزار ارسال شد. اکنون اکانت اندرو برای ساخت آپلودهای جید جعلی مورد استفاده قرار می‌گیرد. و به همین دلیل است که نمی‌توانید تنها با نگاه کردن تاریخ ثبت‌نام اکانت، جعلی یا جعلی نبودن را تشخیص دهید.

 

 

با این حال، اسکمرها با سرقت اکانت پول به جیب نمی‌زنند. این افتخار نصیب برنامه‌های شریک می‌شود که به ازای نصب هر نرم‌افزار بخصوص روی دستگاه قربانی پول پرداخت می‌کنند. بنابراین، اندرو در کنار اپلیکیشنی که نیاز داشت یک سری اپ دیگر نیز دریافت می‌کند. البته از یک سری بیشتر است؛ باید بگوییم کلی اپ دیگر دریافت می‌کند.

گرچه نرم‌افزار جایزه همیشه هم بدافزار نیست- بر اساس تخمین‌های زده‌شده، احتمال وجود اپ‌های مخرب یک به پنج است. حال دیگر اندرو زندگی مانند سابق نیست... از آن روز به بعد مجبور است تا آخر با دسته دسته برنامه‌های بهینه‌سازی که کل نمایشگرش را با آگهی‌های تبلیغاتی پر می‌کنند، toolbarهای مرورگر که صفحه‌ی خانگی را تغییر می‌دهند و بنرهای تبلیغاتی خود را به هر وبسایتی اضافه می‌کنند و حتی تروجان‌ها دست و پنجه نرم کند.

 

 

اگر اندرو از جایی دیگر فایلی مشابه را اجرا می‌کرد شاید برایش شانسی باقی می‌ماند؛ سازندگانِ نرم‌افزار نصب‌کنندگانِ شریک با وجود اینکه در منطقه‌ی خاکستری قانون قرار دارند، به کاربر فرصت رد کردن می‌دهند. البته باید کلی بگردید تا چنین گزینه‌ای را پیدا کنید:

 

 

اما وقتی صحبت از آلودگیِ Pirate Bay و تروجان عروسکی‌اش به میان می‌آید -به دلیل برخی ویژگی‌های خاص نرم‌افزای- دیگر هیچ شانسی وجود ندارد. پیش از مورد هدف قرار دادن پروسه‌ی نصب، بدافزار ماژول‌های autoclicker (کلیک‌کننده‌ی اتوماتیک) را که به طور خودکار هر کادری را تیک می‌زنند اجرا می‌کند و همین باعث می‌شود هیچ راهی برای نپذیرفتن برای کاربر وجود نداشته باشد.

چطور بدافزار PirateMatryoshka کاربران را آلوده کرده و در Pirate Bay توزیع می‌شود؟ (در عکس زیر مشاهده کنید)

نتیجه‌گیری

اگر دارید چیزی را از ردیاب‌های تورنت دانلود می‌کنید، پس خود را برای رویارویی با بدافزار آماده کنید. این خصوصاً با دانلود‌های نرم‌افزاری که ناگزیر شامل فایل‌های قابل‌اجرا هستند در ارتباط است. شما می‌توانید براحتی هر  partner installer (نصب کننده‌ی شریک) را از هر جایی پیدا کنید؛ بنابراین یا باید از هر فایل قابل‌اجرای از اینترنت دانلودشده‌ای بر حذر باشید یا آنتی‌ویروسی مطمئن و آماده به یراق داشته باشید. پیشنهاد ما به شما کسپرسکی اینترنت سکیوریتی است که می‌تواند هر بخش از Pirate Matryoshka یا دیگر انواعِ آن را شناسایی و خنثی کند.

 

[1] Torrent، یک پروتکل اشتراک فایل بر مبای فناوری نقطه به نقطه (P2P) است. این فناوی به کاربران اجازه می‌دهد فایل‌ها و محتوای مورد نظر خود را بدون وابستگی به یک منبع ثابت دانلود کنند.

[2]پایرت بی (به انگلیسی: The Pirate Bay)، معروف‌ترین وب‌گاه اشتراک فایل در جهان است که محل جستجو و رد و بدل‌کردن فایل‌های تورنت می‌باشد.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.