تورنت‌های بازی جعلی منجر به بارگیری برنامه‌های ناخواسته می‌شود!

بارگیری‎کننده‎های PUA خودشان را پشت تورنت‌هایی برای نسخه‌های به سرقت رفته سندیکای بازی Assassin’s Creed و The Witcher ۳ پنهان کرده‌اند تا بتوانند چند PUA مختلف روی رایانه‌های کاربران نصب کنند.

در دسترس بودن محتوای به سرقت رفته روی وب‌گاه‌های تورنت می‌تواند با واکنش‌های پنهانی همراه شوند. طی تحقیقات Symantec راجع به وب‌گاه‌های معروف تورنت، عملیات توزیع برنامه ناخواسته بالقوه‌ای (PUA) مشاهده شده است. روی چندین وب‌گاه‌، تورنت‌های جعلی با نام بازی‌های معروفی پیدا شده است مانند سندیکای بازی Assassin’s Creed یا The Witcher ۳ که به عنوان یک طعمه برای فریب کاربران برای نصب بی سر و صدای PUAها بر روی رایانه‌هایشان استفاده می‌شود. شرکت Symantec معتقد است که این عملیات توزیع PUA از برنامه‌های پرداخت در هر نصب قانونی استفاده می‌کنند.

برنامه‌های ناخواسته بالقوه
PUA نوعی نرم‌افزار است که ممکن است روی امنیت و حریم خصوصی و مصرف منابع تاثیر بگذارد یا با خطرات امنیتی دیگر همراه باشد. چندین روش برای نصب PUA روی یک رایانه یا دستگاه وجود دارد. این برنامه ممکن است به عنوان یک برنامه رایگان ظاهر شود یا به یک نرم‌افزار سوم شخص متصل شود. در بسیاری موارد، صدور اجازه کاربر هم مورد نیاز است، اما در بیشتر موارد، یک PUA ناخواسته‌تر ممکن است آنقدر بی سر و صدا نصب شود که از این کسب اجازه هم فرار کند.

عملیات بارگیری‎کننده PUA با استفاده از تورنت‌های جعلی بازی
در این عملیات، کاربران از طریق بارگیری یک پرونده تورنت جعلی، برنامه‌های PUA ناخواسته را نصب می‌کنند. نمونه‌های زیر مواردی از بازی‌های مشهوری هستند که برای فریب کاربران برای بارگیری پرونده‎های تورنت استفاده می‌شوند
۱_۳۸
فرآیند بارگیری کاربران باعث می‌شود که کاربران فکر کنند در حال بارگیری یک پرونده .torrent برای بازی هستند. برای مثال، سایز کوچک پرونده (به بایت) نشان دهنده این است که پنجره تایید سعی در فریب کاربران دارد تا گمان کنند که در حال بارگیری یک پرونده .torrent هستند. مرحله دیگری هم وجود دارد که کاربر را برای اجرای پرونده راهنمایی می‌کند.
اگر کاربر این کار را انجام دهد، یک پیغام امنیتی کنترل حساب کاربر (UAC) ظاهر می‌شود که از کاربر می‌خواهد آن را برای انجام بارگیری تایید کند.
۱_۳۹
اگر کاربر آن را تایید کند، تغییر مسیری رخ می‌دهد که منجر به بارگیری یک پرونده قابل اجرا بر روی گوگل درایو می‌شود. گوگل اخیراً چندین پرونده بارگیری‎کننده PUA عملیات را شناسایی کرده است که مخرب و مضر هستند:
۱_۴۰
کاربر ممکن است متوجه شود که پرونده بارگیری شده همان پرونده torrent. مورد انتظار نیست ولی در عوض پرونده قابل اجرای دیگری است. بررسی اندازه پرونده بارگیری شده ( حدودا ۳.۵ MB) نیز ممکن است تایید کند که این پرونده torrent. نیست.
۱_۴۱
اگر کاربر بارگیری را تایید و پرونده قابل اجرا را راه‎اندازی کند، بارگیری‎کننده PUA شروع به اجرای بارگیری‎ها و نصب‌های اضافی PUA می‌کند. Symantec نمونه‌های بارگیری‎کننده با شناسایی PUA.ICLoader!g۳، PUA را شناسایی کرده است.
بارگیری‎کننده PUA ممکن است برای پیگری محل‌های راه دور میزبان بدافزار تبلیغاتی، درخواست‌های POST را آغاز کند.

۱۸۸.۴۲.۲۴۴.۱۴۳
۱۸۸.۴۲.۲۴۴.۲۰۷
apibiggo.ru
apifastmake.ru
apifastrun.ru
apiitheynow.ru
apiquicklygo.ru
apirapidlygo.ru
lolappiifastr.ru
lappiifaster.ru

بارگیری‎کننده PUA ممکن است پیش از بارگیری بی‎سر وصدای هر PUA، وجود محیط‌های مجازی را نیز روی رایانه بررسی کند. نصب نرم‌افزار PUA بدون نیاز به دخالت کاربر و بدون نمایش موافقت لیسانس کاربر نهایی (EULA) انجام می‌شود. بررسی‌های Symantec نشان می‌دهد که نصب برنامه‌های PUA ممکن است صفحه خانگی پیش‎فرض مرورگر را تغییر دهد، میانبرهای مرورگر خاصی را پنهان کند یا میانبرهایی را جایگزین میانبرهای مروگر موجود کند که کاربر را به مرورگرهای سوم شخص حاوی تبلیغات هدایت کند.

نتیجه‌گیری
عملیات تورنت بازی جعلی که در این جا از آن صحبت شده است بارگیری‎کننده‌های PUA را برای فریب کاربران برای بارگیری پرونده‎های قابل اجرا توزیع می‌کند که منجر به نصب چند PUA روی رایانه می‌شود. Symantec معتقد است که اشخاص پشت این عملیات سعی می‌کنند با استفاده از برنامه‌های مربوط به پرداخت در هر نصب، فراتر از ردیاب‌ها پرواز کنند. در حالی که این عملیات تنها بارگیری‎کننده‌های PUA را توزیع می‌کند، روش‌های توزیع مشابه ممکن است خطرات دیگر یا حتی بدافزارهایی را نیز به همراه داشته باشند.

راه‎های کاهش خطر
کاربران برای جلوگیری از آلوده شدن با این عملیات بهتر است که توصیه‌های زیر را دنبال کنند:
از بارگیری محتواهای به سرقت رفته از وب‌گاه‌های تورنت خودداری کنید. مهاجمان اغلب از این وب‌گاه‌ها در کنار نام فیلم‌های معروف، برنامه‌های تلوزیونی و بازی‌ها برای توزیع خطرات امنیتی و بدافزارها استفاده می‌کنند.
برنامه‌های امنیتی خود را همیشه به‎روزرسانی کنید تا از خودتان در برابر خطرات امنیتی محافظت کنید.
به پنجره‌های هشدار امنیتی که ممکن است هنگام باز کردن یک پرونده ظاهر می‎شوند، توجه کنید. در این عملیات، یکی از پنجره‌های باز شده پرونده torrent. جعلی را به صورت exe. نشان می‌دهد که نشانه‌ای قطعی است از اینکه پرونده آنچه را که ادعا می‌کند نیست.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]