سرقت کریپتو از طریق DNS

15 بهمن 1402 سرقت کریپتو از طریق DNS

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ استفاده از گیم‌ها و اپ‌های کرک‌شده برای توزیع بدافزار یکی از ترفندهای قدیمی مجرمان سایبری است. شاید باورکردنی به نظر نرسد اما قربانیان ساده که به رابین هود‌ها اعتقاد دارند و دانلود نرم‌افزارها و گیم‌های کرک‌شده از سایت‌های دزدی را کاملاً امن و موجه می‌دانند هنوز هم وجود دارند- حتی الان که به سال 2024 رسیدیم! این نوع تهدید شاید در ذات، قدیمی باشد اما عاملین مخرب مدام به راه‌های جدیدی برای دور زدن امنیت روی کامپیوتر قربانیان برای ارسال بدافزار فکر فکر می‌کنند. ما اخیراً کمپین جدیدی از این جنس پیدا کردیم که هدفش کامپیوترهای اپل است که نسخه‌های جدیدتر مک‌اواس (13.6 به بعد) را اجرا نموده و برای دانلود پی‌لودهای مخرب به ویژگی‌های DNS (سیستم نام دامنه) نفوذ می‌کنند. به قربانیان پیشنهاد دانلود نسخه‌های کرک‌شده‌ی اپ‌های محبوب به طور رایگان می‌شود. و شما فکر می‌کنید چه چیزی در انتظار قربانیانی است که تسلیم وسوسه‌های خود شدند؟

فعالسازی تقلبی

 بعد از دانلود تصویر دیسک که وانمود می‌کند حاوی اپ کرک‌شده است، قربانی مجاب می‌شود دو فایل را در فولدر اپلیکیشن‌ها کپی کند: یکی خود اپ و دیگر چیزی که فعالساز صدا زده می‌شود. اگر فقط اپ را کپی و لانچ کنید اجرا نخواهد شد. طبق ستورالعمل، اپ کرک‌شده باید ابتدا فعالسازی شود. در تحلیل‌های خود به این پی بردیم که فعالساز هیچ کار پیچیده‌ای نمی‌کند: فقط از آغاز فایل قابل‌اجرای اپ، بایت‌هایی را حذف می‌کند تا آن را کاربردی کند. به بیانی دیگر مجرمان سایبری برای پیشگیری از اجرا شدن اپ، نسخه از قبل کرک‌شده را دستکاری می‌کنند مگر آنکه فعال شده باشد. و جای تعجب نیست که فعالساز عوارض جانبی دارد: وقتی اجرا می‌شود درخواست مجوزهای ادمین را دارد و از آن‌ها برای نصب اسکریپت دانلودر در سیسم استفاده می‌کند. این اسکریپت سپس پی‌لودی را در ادامه از وب دانلود می‌کند- بک‌دری که خود هر از گاهی از اپراتورهایش فرمان می‌گیرد.

لینک دادن از طریق DNS

برای دانلود اسکریپت مخرب، فعالساز ابزاری را به خدمت می‌گیرد که هم عجیب است و هم ظاهری بی‌گناه دارد: DNS که قابلیت فنی جذابی دارد: هر رکورد DNS نه تنها نام اینترنت سرور را با آدرس آی‌پی‌ آن لینک می‌کند که همچنین حاوی شرح متن بدون فرم سرور هم هست که رکورد TXT نامیده می‌شود. این همان چیزی است که عاملین مخرب با جاساز کردن بخش‌هایی از کد مخرب در رکوردهای TXT اکسپلویت می‌کنند. فعالساز یا همان اکتیوتور سه رکورد TXT را که به دامنه مخرب تعلق دارد دانلود می‌کند و از اینها اسکریپتی جمع می‌شود. گرچه به نظر پیچیده می‌آید اما این راه‌اندازی کلی مزیت به همراه دارد. اولی آن است که فعالساز هیچ کار مشکوکی انجام نمی‌دهد: هر اپ وبی درخواست رکوردهای DNS دارد. اینگونه است که هر سشن ارتباطی پا می‌گیرد. دوم اینکه عاملین مخرب می‌توانند براحتی برای دستکاری الگوی آلودگی و پی‌لود نهایی با ادیت رکوردهای TXT دامنه، اسکریپت را آپدیت کنند. و در نهایت حذف محتوای آلوده از وب به دلیل ماهیت توزیع‌شده DNS کار ساده‌ای نیست. ارائه‌دهندگان سرویس اینترنتی و نیز شرکت‌هایی که در این زمینه فعالیت دارند حتی شناسایی نقض خط‌مشی‌های خود را سخت می‌بینند زیرا هر کدام از این رکوردهای TXT تنها بخشی از کد مخرب هستند که به خودی خود هیچ تهدیدی ندارند.

رئیس نهایی

این اسکریپت دانلود که به طور دوره‌ای اجرا می‌شود می‌گذارد مهاجم پی‌لود مخرب را آپدیت کرده و هر بلایی که می‌خواهد سر کامپیوتر قربانی بیاورد. در زمان این تحلیل آن‌ها اکنون به سرقت کریپتو علاقه‌مندی نشان دادند. بک‌در خودکار کامپیوتر قربانی را اسکن می‌کند تا کیف‌پول‌های Exodus یا Bitcoin پیدا کند و آن‌ها را با نسخه‌های تروجان‌زده جایگزین نماید. کیف‌پول آلوده اگزوداس، عبارت‌های بازیابی کاربر و کیف‌پول آلوده بیت‌کوین را سرقت می‌کند (منظور همان کلید رمزگذار است که برای رمزگذاری کلیدهای خصوصی استفاده می‌شوند). مورد دوم به مهاجمین توانایی امضای نقل و انتقالات به جای قربانی را می‌دهد. اینگونه است که فرد می‌تواند روی اپ‌های دزدی چند دلاری را به ازای از دست دادن کلی مبلغ به صورت رمزارز ذخیره کند.

راهکارهای امنیتی

به یاد داشته باشید باید از این تهدید به دور بمانید و نگذارید قربانی شوید. همیشه اپ‌ها را از بازارهای رسمی خریداری و دانلود کنید. پیش از دانلود اپی از وبسایت توسعه‌دهنده مطمئن شوید آیتم واقعی است و آن را از سایت‌های فیشینگی پیدا نکرده‌اید. اگر دارید به دانلود نسخه کرک‌شده اپ فکر می‌کنید خطر بزرگی در کمین‌تان است: سایت‌های پایرت قابل‌اطمینان همانقدر نادر هستند که اسب‌های شاخ‌دار! فرقی ندارد چقدر سواد کامپیوتر دارید به هر حال باید حواستان به جزئیات باشد. مطمئن باشید روی همه دستگاه‌های خود امنیت جامعی حاکم است: گوشی، تبلت، کامپیوتر. کسپرسکی پریمیوم یک راهکار خوب چند پلت‌فرمه است. چک کنید که همه قابلیت‌های پایه و پیشرفته امنیتی فعال هستند. در مورد دارندگان کریپتو افزون بر موارد فوق، پیشنهادمان این است که کیف‌پول‌های کریپتوی سرد و گرم خود را نیز تحت محافظت قرار دهید.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.