«مرکز مدیریت راهبردی افتا» نسبت به نصب نرمافزارهای مشکوک و غیرمجاز به کاربران هشدار داد
گرگهای مجازی با لباس میش
کاربران میتوانند برای شناسایی بدافزارها از سایتVirusTotal، سایت پویش و تحلیل بدافزار استفاده کنند که هر فایل ارسالی از سوی کاربران را در اکثر ضدویروسهای مطرح بررسی کرده و گزارش شناسایی یا عدم شناسایی آنها را در اختیار کاربر قرار میدهد. این سایت در بازه زمانی ۱۲ دی ۱۳۹۹ تا ۱۰ تیر ۱۴۰۱، روزانه دو میلیون فایل ارسالی کاربران را تحلیل کرده است. طبق اعلام این مرکز، شماری از متداولترین روشهایی که هکرها برای نفوذ به سیستم کاربران یا سرقت اطلاعات آنها استفاده میکنند به شرح زیر هستند.
بهرهجویی از دامنههای معتبر
توزیع بدافزار از طریق سایتهای معتبر، محبوب و با رتبه بالا به مهاجمان این امکان را میدهد تا فهرستهای مسدود شده مبتنی بر IP را دور بزنند، همواره در دسترس باشند و سطح اعتماد بیشتری را جلب کنند. سایت VirusTotal، بر اساس فهرست هزار سایت محبوب و برتر (Alexa top ۱۰۰۰ websites) و از میان ۱۰۱ دامنه متعلق به این سایتها، حدود دو و نیم میلیون فایل مشکوک دانلود شده را شناسایی کرده است. قابلتوجهترین موردی که از آن بیشترین سوءاستفاده صورت گرفته، برنامه Discord است که به کانون توزیع بدافزار تبدیل شده است. پس از آن سرویسدهنده میزبانیکننده سرورها و خدمات ابری Squarespace و Amazon در رتبههای بعدی قرار دارند.
استفاده از گواهینامههای معتبر سرقت شده
امضای نمونههای بدافزاری با گواهینامههای معتبر سرقت شده، روشی دیگر برای فرار از تشخیص توسط ضدویروسها و هشدارهای صادر شده از سوی راهکارهای امنیتی است. در میان تمام نمونههای مخرب آپلود شده در VirusTotal در بازه زمانی یادشده، بیش از یک میلیون مورد امضا شده و ۸۷درصد از آنها از یک گواهینامه معتبر استفاده کردهاند. گواهینامههای رایج به کار گرفته شده در امضای نمونههای مخرب ارسال شده به سایت یادشده عبارتاند از Sectigo، DigiCert، USERTrust و Sage South Africa.
فریب کاربران از طریق فایلهای نصب معتبر
در نهایت، ترفند دیگر توزیعکنندگان بدافزار، پنهان کردن بدافزار در فایلهای نصب برنامههای معتبر و اجرای پروسه هک در پسزمینه (Background) است، درحالیکه برنامههای واقعی در پیشزمینه (Foreground) در حال اجرا هستند. این تکنیک ضمن فریب قربانیان منجر به بیاثر شدن برخی موتورهای ضدویروس میشود که ساختار و محتوای فایلهای اجرایی را بررسی نمیکنند. بر اساس آمار سایت VirusTotal، به نظر میرسد که این روش امسال نیز در حال افزایش است و ازGoogle Chrome، Malwarebytes، Windows Updates، Zoom، Brave، Firefox، ProtonVPN و Telegram به عنوان طعمه استفاده میکنند.
کارشناسان مرکز مدیریت راهبردی افتا میگویند: هنگامی که به دنبال دانلود نرمافزار هستید، یا از فروشگاه موجود در سیستمعامل خود استفاده کنید یا آن را از صفحه دانلود رسمی برنامه، دریافت کنید. همچنین، مراقب تبلیغاتی که در نتایج جستوجو ممکن است رتبه بالاتری داشته باشند، باشید؛ زیرا مهاجمان سایتها را بهراحتی، جعل میکنند، بهطوریکه کاملا شبیه سایتهای معتبر به نظر میرسند. به گفته کارشناسان مرکز مدیریت راهبردی افتا، هر کاربر موظف است، پس از دانلود یک فایل نصبکننده نرمافزار و همیشه قبل از اجرای فایل، یک پویش ضدویروس روی آن انجام دهد تا مطمئن شود که حاوی بدافزار نیست. در نهایت، از بهکارگیری نسخههای کرک شده، نرمافزارهای قفلشکسته و غیرمجاز خودداری کنید، زیرا معمولا به انتقال بدافزار منجر میشوند.