نصب ۱۲ میلیون درب پشتی توسط Tuto۴PC

متخصصان امنیتی به کاربران رایانه‌های شخصی هشدار داده‌اند که ابزارهای رایانه‌ای ترس‌افزار منتشر شده توسط شرکت فرانسوی Tuto۴Pc به‌طور مخفیانه نرم‌افزارهای جاسوسی و بدافزارهای تبلیغاتی را وارد رایانه‌های کاربران می‌کنند.
تیم تحقیقاتی Talos از سیسکو اظهار کرده است که ابزارهای چند شرکت از جمله OneSoftPerDay و SystemHealer حاوی تروجان‌هایی هستند که محتوا و رفتار مخربی دارند.
Talos تخمین می‌زند که ۱۲ میلیون کاربر برای بارگیری یکی از برنامه‌های ابزارهای Tuto۴Pc فریب خورده‌اند. محققان می‌گویند به محض اینکه کاربران یکی از این برنامه‌ها را بارگیری و نصب کنند، نرم‌افزار همانند بدافزار عمل کرده و تروجانی به نام Wizz را نصب می‌کند.
محققان Talos در وبلاگی در روز چهارشنبه نوشتند: «هنگامی که Wizz با امتیاز ویژه‌ی مدیریتی و سرپرستی نصب شد، اطلاعات شخصی کاربر را بیرون می‌کشد و با پرونده‌ی قابل اجرا این اطلاعات به‌دست آمده را برای مرکز کنترل‌کننده‌ی خود ارسال می‌کند.»
نمایندگان شرکت Tuto۴Pc به درخواست خبرگزاری ThreatPost برای دادن پاسخی در این مورد جواب ندادند.
کریگ ویلیامز رهبر ارشد فنی در Talos گفت که طول نرم‌افزار Wizz در حال افزایش است و نرم‌افزارهای تحلیلی نمی‌توانند نوع عملکرد این نرم‌افزار را شناسایی کنند.
ویلیامز گفت: «بررسی‌های اولیه Talos از Wizz نگرانی‌ها را افزایش داده ‌است، زیرا وقتی محققان با استفاده از روش‌های جبه‌ی شنی رایانه کد Wizz را بررسی کردند فهمیدند که این برنامه فعلا در حالت نهفته قرار دارد».
از دیگر رفتارهای سؤال‌برانگیز Wizz می‌توان به تلاش برای پیدا کردن برنامه‌ی ضدبدافزار رایانه و دیگر برنامه‌های امنیتی همچون نرم‎افزارهای کشف شواهد مربوط به جرائم رایانه‌ای را نام برد. طبق گفته‌ی شرکت Talos، بیشترین نگرانی در خصوص این بدافزار، نصب بی سر و صدای برنامه بر روی رایانه‌های شخصی بدون کسب اجازه از EulA ها است.
تیم Talos در گزارش خود نوشت: «واضح و روشن است که این نرم‌افزار باید به عنوان یک درب پشتی طبقه‌بندی شود. دست کم این نرم‌افزار یک برنامه بالقوه‌ی ناخواسته ( PUP) است. بحث جالبی که در اینجا وجود دارد این است که این بدافزار از تعریف معمول درب پشتی، قدم فراتر گذاشته است».
شرکت Tuto۴PC گذشته‌ی متغییر و شطرنجی دارد که می‌توان به اجرای بغرنج و پیچیده‌ با Conseil d’Elat، قانون‎گذاران دولت فرانسه اشاره کرد. Talos گفت این شرکت چندین‌بار در سال‌های ۲۰۱۲، ۲۰۱۳ و ۲۰۱۵ با ماموران فرانسوی روبرو شده است که شرکت را برای نصب نرم‌افزار ناشناخته‌ بر روی رایانه‌های شخصی کاربران تعلیق کرده‎اند.
وارن مرکر یکی از رهبران فنی در Talos گفت: «Tuto۴Pc شرکتی است که در گذشته توسط ماموران فرانسوی برای نصب نرم‍افزارهای تبلیغاتی و جاسوسی بر روی رایانه‌ی کاربران، فراخوانده شده است. اما ظاهراً این شرکت از فراخوانده شدن توسط مقامات درس عبرت نگرفته و همچنان سعی دارد که تروجان‌هایش را از چشم جامعه امنیتی دور نگه دارد.»
مرکر گفت: « Tuto۴PC و Wizz به عنوان واسطه‌ای برای اجرای بدافزارهای تبلیغاتی و جاسوس افزارها و Bloatware ها بر روی میلیون‌ها رایانه‌ی شخصی بدون اجازه کاربران، با همدیگر کار می‌کنند.»
محققان Talos اشاره کرده‎اند که توانستند با استراق سمع بر روی ارتباط بین بخش مدیریت دستور و کنترل به رابطه بین Tuto۴PC و Wizz پی ببرند، زیرا Tuto۴PC از متغییرهای رمزنگاری برای اجرای SSL استفاده کرده است که از راهنمای رمزنگاری سایت مایکروسافت (MSDN) کپی شده است.
Talos در گزارش خود نوشت: «مورد جالبی که در اینجا وجود دارد این است که با وجود مدت زمان بسیاری که مسئولان این شرکت صرف روش‌های ضد جعبه‌شنی و ضدبررسی‌های امنیتی کرده است، هیچ تلاشی برای رمزنگاری نکرده است و فقط رمزگذاری را از راهنمای وبگاه MSDN کپی کرده است.»
محققان دریافتند که Tuto۴PC از ۵۵ دامنه برای عملیات جاسوسی و بدافزارهای تبلیغاتی استفاده کرده است که هرکدام متعلق به Tuto۴PC هستند یا متعلق به زیرمجموعه‌های آن. Talos گفت که این دامنه‌ها برای توزیع فایل دودویی Wiz.exe استفاده شده‌اند. Talos همچنین گفت: «این دامنه‌ها نام‌های متفاوتی دارند از جمله “PC Clean”، Free Gamer” و “Offer” که قانونی بودن همگی آن‌ها مورد سوال است. واضح است که هدف این این دامنه‌ها فریب کاربران برای کمک به دانلود تروجانشان است.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.