هشدار برای محصّلین: بدافزاری در قالب مقالات و کتب درسی

۱۳۹۸/۶/۱۲امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ بارها در مقالات خود نوشتیم انتخابِ سهویِ یک سری محتوای آلوده حین دانلود برنامه‌های محبوب تلویزیونی یا گیم‌های پرطرفدار چقدر راحت است. با این حال، مجرمان سایبری خودشان را تنها به محصولات تفریح و سرگرمی محدود نمی‌کنند. شما همچنین می‌توانید وقتی دارید دنبال اطلاعاتی در خصوص کار یا تحصیل هم می‌گردید به دام این ویروس‌ها بیافتید. وقتی سال تحصیلی شروع می‌شود تب و تاب توزیع این بدافزارها هم بیشتر می‌شود. دلیلش هم این است که هزینه‌ی کتاب‌های درسی و سایر محتواهای مخصوص دانش‌آموزان و دانشجوها اغلب آن‌ها را مجاب می‌کند تا بخواهند مواد آموزشی رایگان (یا بسیار مقرون به صرفه) در فضای آنلاین برای خود پیدا کنند.

دانلود مقاله با کمی چاشنیِ بدافزار

ما تصمیم گرفتیم این موضوع را بررسی کنیم که هر چند وقت یکبار محتوای آلوده لابه‌لای متریالی که دسترسی به آن‌ها رایگان است قرار می‌گیرد. برای انجام این کار، اول این را چک کردیم که راه‌حل‌های کسپرسکی چه تعداد آلودگی را در فایل‌های آموزشی شناسایی کرده است که البته به نتیجه‌هایی هم رسیدیم!

همانطور که معلوم است، مجرمان سایبری‌ای که هدفشان حوزه‌ی آموزشی بوده است در طول سال آکادمیک سعی داشتند به طور کلی بیش از 356 هزار بار به کاربران ما حمله کنند. از بین این‌ها 233 هزار مورد مقالات آلوده‌ای بودند که در کامپیوتر 74 هزار نفر دانلود شدند و البته راه‌حل‌های ما سعی داشت اینها را بلاک کند.

حدود یک‌سوم این فایل‌ها کتاب‌های درسی بود: ما 122 هزار حمله توسط بدافزار شناسایی کردیم که خودشان را در قالب کتاب‌های درسی جا زده بودند. بیش از 30 هزار کاربر سعی داشتند این فایل‌ها را باز کنند.

کتاب‌های انگلیسی که در خود بدافزار پنهان کرده بودند بیشتر بین دانش‌آموزان باب شد (2080 دانلود). کتاب‌های درسی در حوزه‌ی ریاضیات بعد از این در رتبه‌ی دوم آلودگی قرار می‌گیرد؛ تقریباً کامپیوتر 1213 دانش‌آموز را آلوده کرد.

حوزه‌ی ادبیات نیز سومین سوژه‌ی برتر آلودگی‌های سایبری به حساب می‌آید (870 قربانی احتمالی).

مجرمان همچنین سوژه‌های کمتر محبوب را نیز مورد هدف خود قرار دادند. ما حتی به مواردی برخوردیم که بدافزار خودش را جای کتب درسی علوم طبیعی (18 کاربر سعی داشتند اینها را دانلود کنند) و زبان‌هایی که کمتر تدریس می‌شدند زده بود (هم در سطح دانش‌آموزی و هم در مقطع دانشگاهی).

چه نوع بدافزارهایی تحت پوشش کتب درسی و مقالات توزیع می‌شوند؟

اگر حین جست‌وجویتان برای مواد آموزشی دیدید از وبسایتی سردرآوردید که به نظر قابل اطمینان نمی‌آید از آنجا چیزی دانلود نکنید و خودتان در معرض خطر آلوده شدن توسط بدافزارها قرار ندهید. با این حال، برخی انواع تهدیدها بیش از بقیه توزیع می‌شوند. در ادامه با ما همراه شوید تا چهار نوع بدافزار محبوب را با ماسک مواد درسی خود را وارد دستگاه‌ها می‌کنند آشنا کنیم.

جایگاه چهارم: دانلودر اپ تورنت  MediaGet

سایت‌هایی که کتب ‌درسی ارائه می‌دهند اصولاً دارای دکمه‌های «دانلود رایگان» هستند که خیلی هم وسوسه‌انگیز است. این سایت‌ها در واقع به کاربران به جای داکیومنتی که دنبالش می‌گردند دانلودر MediaGet را ارائه می‌دهد. این تازه بی‌ضررترین موردی است که می‌تواند در مقطع تحصیلی و آکادمیک اتفاق بیافتد (برای دانش‌آموزان و دانشجویانی که به دنبال منابع درسی هستند). این دانلودر، کلاینت تورنتی را که کاربر بدان نیاز ندارد بازیابی می‌کند.

 جایگاه سوم: دانلودر WinLNK.Agent.gen

بدافزارها دوست دارند خودشان را لابه‌لای آرشیو‌ها پنهان کنند، زیرا وقتی تهدیدی خودش را در  قالب فایل زیپ یا رار نهان کرده سخت می‌توان شناسایی‌اش کرد. این همان تکنیکی است که به عنوان مثال توسط دانلودر WinLNK.Agent.gen  استفاده می‌شود (وقت‌هایی که کسی دنبال کتب درسی و مطالب آموزشی می‌گردد این گزینه خیلی راحت انتخاب می‌شود). این آرشیو شامل میانبری است به فایل متنی که نه تنها خودِ داکیومنت را باز می‌کند که همچنین اجزای بدافزارِ ضمیمه‌شده را نیز اجرا می‌نماید.

آن‌ها در عوض می‌توانند آلودگی دیگری را در دستگاه دانلود کنند. این یک قانون است و بر اساس آن، این‌ها برنامه‌های کریپتوماینینگ آلوده هستند که کارشان استخراج رمزارز برای دارندگانشان است (با استفاده از منابع دستگاه شما). در نتیجه، کامپیوتر و سرعت اینترنت‌ هر دو به شدت دچار افت و آسیب خواهد شد (پول برق هم سر به فلک خواهد کشید). آگهی‌افزارها همچنین می‌توانند شما را با آگهی‌های تبلیغاتی بمباران کنند تا حدی که دیگر دست و پایتان برای پذیرفتنشان شل شود. علاوه بر این، این بدافزار می‌تواند برنامه‌های خطرناک‌تری را نیز دانلود کند.

جایگاه دوم: دانلودر بدافزار  Win32.Agent.ifdx

دانلودر دیگری هم هست که اغلب ماسک کتاب درسی یا مقاله‌ای با فرمت DOC، DOCX یا PDF به صورت دارد. با وجود اینکه وانمود می‌کند داکیومنت است (آیکونش بدین شکل است) اما در حقیقت می‌توان آن را «برنامه» تلقی کرد. علاوه بر این، وقتی اجرا می‌شود فایل متنی را نیز باز می‌کند تا قربانی به چیز مشکوکی بو نبرد. با این حال، کار اصلی‌اش دانلود همه نوع چیز بد روی دستگاه کامپیوتر قربانی است.

اخیراً این نوع بدافزار بیشتر تمایل دارد کریپتوماینرهای مختلف را دانلود کند. البته این را هم یادآور شویم که اولویت‌های توزیع‌کنندگان بدافزار به اقتضای شرایط می‌تواند تغییر کند. هیچ‌چیز نمی‌تواند جلوی آن‌ها را در دستکاری بدافزار برای دانلود جاسوس‌افزار، تروجان‌های بانکی (که اطلاعات را از کارت‌ها و اکانت‌ها در فروشگاه‌ها و بانک‌های آنلاین سرقت می‌کنند) یا حتی باج‌افزار -به جای ماینرهای رمزارز- بگیرد.

جایگاه اول: اسپم مدرسه با استفاده از کرم Stalk

همچنین می‌توانید بدون بازدید از سایت‌های کلاهبردار نیز آلوده شوید. اسپمرها نیز کتب درسی و مقالات مخرب را توزیع می‌کنند. این روش ترجیحی است که توسط آن، برای مثال کرم Worm.Win32 Stalk.a توزیع می‌شود. این کرم مدتی بود که وجود داشت و قبل‌تر فکر می‌کردیم دیگر از کار افتاده. اما درست بر خلاف انتظارمان، نه تنها هنوز هم فعالانه مورد استفاده قرار می‌گیرد که همچنین بدافزار «آموزشی» است که کلی هم قربانی گرفته است.

Stalk  وقتی راه خودش را به کامپیوتر پیدا کند، به تمامی دستگاه‌های متصل به آن رخنه می‌کند. برای مثال، می‌تواند سایر کامپیوترها را روی شبکه لوکال یا فلش‌داریو یو‌اس‌بی (حاوی مواد آموزشی) آلوده کند. این یک حرکت موذیانه است؛ زیرا اگر مقاله را در مدرسه یا دانشگاه -از طریق فلش‌درایو- پرینت بگیرید، این کرم خودش را وارد شبکه‌های اینترنتی آموزشی خواهد کرد.

با این حال، این بدافزار تنها به همین کار بسنده نمی‌کند؛ سیری‌ناپذیر است: برای آلوده کردن هر چند تعداد سیستمی که امکانش است سعی خواهد کرد خودش را به اسم شما به کانتکت‌هایتان ایمیل کند. خوب همکلاسی‌ها  یا دانشجویان دیگر دوست دارند اینطور فکر کنند که پیامی که از سوی شماست قابل‌اطمینان است. برای همین آن اپ آلوده‌ی ضمیمه‌شده را باز می‌کنند.

Stalk تنها به خاطر توانایی‌اش در توزیع خود از طریق شبکه‌ی لوکال و ایمیل نیست که خطرناک می‌خوانیمش. این بدافزار می‌تواند سایر اپ‌های آلوده را نیز به دستگاه آلوده دانلود کند و همچنین کاملاً سرخود فایل‌ها را از کامپیوتر شما به دارندگان بدافزارها کپی پیست کند.

یکی از مهم‌ترین دلایل احتمالی که چرا کرم  Stalk هنوز هم قادر است در مأموریت‌هایش موفق شود این است که مؤسسات آموزشی به طور کلی و سیستم‌های چاپ‌شان (به طور خاص) اغلب از نسخه‌های زهوار دررفته‌ی سیستم‌عامل‌ها و سایر نرم‌افزار استفاده می‌کنند. همین باعث می‌شود کرم بتواند در عملیات توزیع خود، بی‌وقفه پیشروی کند.

چطور در امان بمانیم؟

همانطور که مستحضر هستید، گشتن به دنبال مواد آموزشی در اینترنت می‌تواند عواقب ناخوشایندی داشته باشد. برای در امان ماندن از چنین اتفاقاتی:

  • در صورت امکان، کتاب‌های مورد نیاز خود را در کتابخانه‌های فیزیکی یا آنلاین سرچ کنید.
  • همیشه به نوع سایت میزبان که قصد دارید از آن، کتاب درسی مورد نظر خود را دانلود نمایید توجه کنید. از منابع مشکوک که پُرند از دکمه‌های دانلود یا شما را ملزم می‌کنند ابتدا یک دانلودر نصب کنید دیدن نفرمایید.
  • از نسخه‌های قدیمی سیستم‌های عامل و سایر نرم‌افزار استفاده نکنید. مطمئن شوید مرتباً نرم‌افزارهایتان آپدیت می‌شوند.
  • حواستان به پیوست‌های ایمیل باشد؛ از آن‌ها سرسری نگذرید، حتی اگر از سوی عزیزان و دوستان و آشنایان باشند. اگر دوستی ناگهان مقاله‌ای برایتان ایمیل کرد که از او نخواسته بودید، به نظر کمی سناریو مشکوک می‌شود.
  • به افزونه‌های فایل‌هایی که دانلود می‌کنید توجه نمایید. اگر به جای داکیومنت یک فایل  EXE دانلود می‌کنید پس اصلاً بهتر است از خیرش بگذرید.
  • از راه‌حل امنیت کامپیوتر قابل‌اطمینان استفاده کنید. برای مثال کسپرسکی اینترنت سکیوریتی نه تنها تهدیدهایی را که در این مقاله شرح دادیم شناسایی می‌کند که همچنین خیلی‌های دیگر را نیز با سرعت زیادی رصد می‌کند. این راه‌حل اجازه نخواهد داد هیچ آسیب و خطری به کامپیوتر شما وارد آید.  

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.