بدافزاری که جایگزین ضدبدافزار می‌شود

تروجان بانکی Dridex که به طور گسترده توسط مجرمان سایبری استفاده می‌شود تا بدافزار را در ماشین‌های کاربران توزیع کند، اکنون یک نرم‌افزار امنیتی را توزیع کرده است!
بخشی از شبکه‌ی بات تروجان بانکی Dridex احتمالاً توسط یک نفوذگر کلاه‌سفید مورد نفوذ واقع شده ‌است. این نفوذگر پیوند‌های مخرب را با نصب‌کننده‌های ضدبدافزار Avira جایگزین کرده‌ است.

تروجان بانکی Dridex چیست؟ چگونه کار می‌کند؟
گفته می‌شود بدافزار Dridex که تحت عنوان Bugat و Cridex نیز شناخته می شود، توسط مجرمان سایبری در شرق اروپا و در تلاشی برای به دست‌ آوردن اطلاعات بانک‌داری‌های اینترنتی ساخته شده‌ است. حتی پس از تلاش بسیار برای از بین‌ بردن آن در اواخر سال ۲۰۱۵،‌ شبکه‌ی ‌بات Dridex هنوز هم فعال است.
بدافزار Dridex معمولاً خود را از طریق پیام‌های هرزنامه و یا رایانامه‌‌هایی که پیوست‌های مخرب دارند، پخش می‌کند. این رایانامه‌‌ها بیش‌تر اوقات یک پرونده‌ی آفیس و یا Word هستند که ماکرو‌های مخرب را به همراه دارند.
به محض این‌که بر روی پرونده‌ی مخرب کلیک می‌شود، ماکرو بخش اصلی بدافزار را از یک کارگزار دزدیده‌شده بارگیری و نصب می‌کند، که بر روی رایانه‌ی قربانی نصب و اجرا می شود.
سپس برنامه‌ی تروجان Dridex یک کی‌لاگر بر روی ماشین آلوده می سازد و وب‌گاه‌های بانکی را از طریق تغییر مسیر‌ها و تزریق‌های وب دست‌کاری می‌کند.
این اتفاق منجر به این می‌شود که داده‌های شخصی کاربر هم‌چون نام کاربری و گذرواژه به سرقت روند تا در نهایت نفوذگر بتواند به حساب کاربری قربانی راه‌ یافته و مبالغی را به سرقت برد.

نفوذگر تروجان را با ضدبدافزار جایگزین کرده ‌است
اگرچه نفوذ اخیر باعث تعجب شده‌ است، اما به نظر می‌رسد به جای توزیع تروجان‌ بانکی، بخشی از شبکه‌ی ‌بات Dridex رونوشت های قانونی از ضدبدافزار رایگان Avira را پخش می‌کند.
مورتیز کرول، متخصص بدافزار Avira‌ در ‌این‌باره می‌گوید: «محتوای پست پیوند بارگیری بدافزار جایگزین شده ‌است، به طوری که اکنون به جای بارکننده‌ی معمول Dridex، نصب‌کننده‌ی به‌روز وب Avira را توزیع می‌کند.»
Avira معتقد است نفوذگر کلاه‌ سفیدی که این‌کار را کرده ‌است، به طریقی مشابه با آن‌چه سازندگان Dridex‌ انجام داده‌اند، کد مخرب را با نصب‌کننده‌ی avira‌جایگزین‌ کرده ‌است. بنابراین زمانی که یک رایانه آلوده‌ می‌شود، به جای دریافت بدافزار Dridex، قربانی یک نسخه‌ی امضاءشده و معتبر از ضدبدافزار Avira را دریافت می‌کند.
آقای کرول در ادامه می‌گوید:
«ما هنوز نمی‌دانیم چه کسی این‌کار را کرده ‌است، و چرا، برخی فرضیه‌ها در این‌باره داریم، اما هنوز مطمئن نیستیم. اما آن‌چه واضح است این‌که ما خود این کار را نکرده‌ایم! اگر‌چه انگیزه چنین اعمالی هنوز مشخص نیست، اما حتی چنین اعمالی نیز در برخی کشور‌ها غیرقانونی محسوب می‌شود.»

چه کارهایی می‌توان انجام داد تا از حملات بدافزار‌ها در ‌امان بود؟
در زیر برخی توصیه‌ها آمده‌ است تا به وسیله‌ی آن‌ها از این‌که بخشی از شبکه‌‌ی بات تروجان بانکی Dridex باشیم، پیش‌گیری کنیم:
مطمئن شوید از نسخه‌ای به‌روزشده از ضدبدافزار بر روی رایانه‌ی خود استفاده می‌کنید. این‌ نسخه می‌تواند پیش از آن‌که پیوست‌های رایانامه‌ی را باز کنید، آن‌ها را بررسی کند.
یکی از بهترین معیارها برای امن‌سازی محیط برخط پیاده‌سازی سامانه‌ی ردیابی نفوذ در لایه‌ی شبکه است، که به خصوص در ترکیب با هوش تهدید بلادرنگ و SIEM در شناسایی سریع بدافزارها و سایر تهدید‌ها موفق عمل می‌کند.
درمورد بازکردن پیوست‌های رایانامه‌‌هایی که از افراد ناشناس دریافت می‌کنید مراقب باشید، به خصوص پرونده‌های اکسل و مایکروسافت ورد.
ماکرو‌ها را در آفیس مایکروسافت غیرفعال کنید، و یا حداقل این‌ تنظیم را انجام دهید که ماکروها پیش از آن‌که فعال شوند از شما اجازه بگیرند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.