⭕️ آلودگی دستگاه ۱۰ میلیون نفر توسط ۲۰۰ بدافزار در گوگل پلی

⚠️ بدافزاری به نام GriftHorse از آبان سال گذشته، دستگاه بیش از ۱۰ میلیون کاربر از ۷۰ کشور (از جمله ایران) را مورد حمله قرار داده و با عضویت آنها در سرویس‌های هزینه‌ای پیامکی، میلیونها یورو از آنها سرقت کرده است.

🎩 این بدافزار که در قالب ۲۰۰ برنامه‌ از دسته‌بندی‌های مختلف منتشر شده، دسترسی خاصی از کاربران دریافت نمی‌کند و این امر باعث اطمینان کاربران و شناخته نشدنش توسط گوگل پلی پروتکت شده است.

🔺گفتنی است که این تروجان، با استفاده از Apache Cordova، برنامه‌ها را بدون نیاز به دخالت کاربر بروزرسانی می‌کند.

💣 بدافزار GriftHorse پس از نصب، پیام‌های متعددی مبنی بر برنده شدن جایزه به کاربر نمایش می‌دهد، و با هدایت وی به صفحه‌ای که بر اساس موقعیت جغرافیایی کاربر تنظیم شده، به بهانه‌ی تایید هویت، از وی درخواست می‌کند که شماره همراهش را وارد نماید. در صورت وارد کردن شماره همراه، کاربر عضو سرویس‌های هزینه‌ای پیامکی می‌شود و تا مدتها هم متوجه نخواهد شد.

🛡 این بدافزار توسط ضدبدافزار بیت‌بان شناسایی می‌شود.

🌐 نام و شناسه‌ی ۲۰۰ بدافزار GriftHorse

⭕️ جاسوس‌افزاری تجاری که بصورت قانونی فروخته می‌شود!

⚠️ جاسوس‌افزار FinSpy بیش از ۱۰ سال است که منتشر شده و طیف گسترده‌ای از افراد، یعنی کاربران اندروید، iOS، مک، ویندوز و لینوکس را هدف قرار داده است.

🔺نسخه‌ی ویندوزی این بدافزار از روش‌های متعددی برای نفوذ به سیستم استفاده می‌کند، به عنوان مثال FinSpy می‌تواند در پکیج‌های شامل اینستالر برنامه‌های معتبری چون TeamViewer ،VLC و WinRAR پنهان شود.

🔺در نسخه‌های اندرویدی هم، بدافزار توسط کلیک کاربر بر لینک‌های آلوده در شبکه‌های اجتماعی، پیامک و ایمیل، بر دستگاه وی نصب می‌شود.

💣 اعمال مخرب FinSpy

۱. نسخه‌‌ی PC

> روشن کردن میکروفون و دوربین و ضبط صدا و تصویر
> سرقت فایل‌ها و ایمیل‌ها
> ضبط موارد تایپ شده
> گرفتن اسکرین‌شات

۲. نسخه‌ی موبایل

> خواندن پیامک‌ها
> شنود و ضبط تماس‌ها
> نظارت کامل بر محتوای پیام‌رسان‌ها
> ارسال لیست مخاطبین و اطلاعات مکانی کاربر

🔦 این جاسوس‌افزار توسط ضدبدافزار بیت‌بان شناسایی می‌شود.

🌐 روش کار جاسوس‌افزار FinSpy

⭕️ کلاهبرداری ۶۰ میلیاردی با پیامک تخفیف ویژه لوازم خانگی

⚠️طبق گزارش پلیس فتا، کلاهبرداری با ارسال پیامک‌های جعلی، با عنوان «تخفیف ویژه پاییزه لوازم خانگی» و سرقت اطلاعات کارت بانکی قربانیان، حساب آنها را خالی، و بیش از ۶۰ میلیارد ریال از آنان سرقت کرده است.

⛔️ روش کلاهبرداری

پیامک جعلی حاوی لینکی مخرب بوده، که در صورت کلیک کاربر بر آن، بدافزاری به نام «تخفیف ویژه پاییزه» بر دستگاه وی نصب می‌شده و با استفاده از دسترسی‌های خطرناکی که از دستگاه کاربر گرفته، و احتمالا هدایت وی به درگاه‌های جعلی، اطلاعات کارت بانکی‌اش را سرقت و حسابش را خالی می‌کرده است.

🚨 این کلاهبردار توسط پلیس فتا دستگیر شده است. چنانچه فردی، مبلغی را بواسطه‌ی این کلاهبرداری از دست داده، می‌تواند با مراجعه به پلیس فتا، پرونده‌ی خود را پیگیری نماید.

📝 جزئیات و تحلیل فنی این بدافزار، بزودی توسط بیت‌بان منتشر خواهد شد.

⭕️ سرقت بیش از ۲۴ میلیون دلار رمزارز توسط بدافزار MyKings

⚠️ بدافزار MyKings بات‌نتی است که از سال ۲۰۱۶ منتشر شده و سیستم‌های بسیاری را آلوده کرده است. ارزش تنها سه رمزارز بیت‌کوین، اتریوم و دوج‌کوین سرقت شده توسط این بدافزار، چیزی بیش از ۲۴.۷ میلیون دلار بوده، و این یعنی میزان سرقت کلی این کمپین، که شامل بیش از ۲۰ رمزارز است، بسیار بیشتر از این رقم‌هاست.

🔺 متاسفانه برخی از ایرانیان نیز، جزو قربانیان این بدافزار بوده‌اند.

💣 عملکرد MyKings

بعد از آنکه بدافزار بر سیستم قربانی نصب شد، هر آنچه در کلیپ‌بورد وی ذخیره می‌شود را بررسی می‌کند و چنانچه تشخیص دهد که متن ذخیره شده، آدرس یک والت رمزارز است، آدرس والت هکر را جایگزینِ آن می‌کند.
حال وقتی قربانی قصد دارد تراکنشی انجام دهد و رمزارزی را به والت شخص دیگری ارسال کند، در صورت بی‌توجهی به آدرس، رمزارز مذکور، به والت هکر ارسال می‌شود.

🔌 گفتنی است که بخشی از رمزارزهای موجود در والت‌های هکر، از طریق استخراج کننده‌های رمزارز بدست آمده‌اند.

🌐 مشاهده‌ی آدرس والت‌های هکر، شناسه‌ی بدافزار و نقشه‌ی آلودگی MyKings

⭕️ هک OpenSea بزرگترین بازار NFT

💸 هکرها با استفاده از آسیب‌‌پذیری‌های حساسی که در پلتفرم OpenSea وجود داشته، توانسته‌اند با فریب برخی از کاربران به بهانه‌ی دریافت NFT رایگان یا هدیه، به والت رمزارز آنها دسترسی یابند و تمام حسابشان را خالی کنند.

⛔️ روش هک

۱. هکر یک NFT مخرب (شامل یک فایل SVG) را با عناوینی چون هدیه و جایزه، برای کاربر ارسال می‌کند.
۲. در صورت پذیرش کاربر، یک پاپ-آپ از دامنه‌ی ذخیره‌ساز OpenSea باز می‌شود، که از او درخواست می‌کند برای اتصال به والت رمزارزش کلیک کند.
۳. در صورت کلیک کاربر، هکر به والت وی دسترسی پیدا می‌کند.
۴. در نهایت هکر با ارسال یک پاپ-آپ دیگر، که از دامنه ذخیره‌ساز OpenSea ارسال می‌شود، می‌تواند کل والت قربانی را خالی کند.

🔒 آسیب‌پذیری‌های مذکور، یک ساعت پس از اطلاع یافتن تیم OpenSea، برطرف و وصله شدند.

🔸اما وجود چنین روش‌‌هایی برای هک، توجه بسیار بیشتر کاربران را، برای فعالیت در این حوزه‌ها می‌طلبد.

🌐 نمونه‌ای از یک NFT مخرب + ۱۰ توصیه‌ی امنیتی

⭕️ بیش از ۲۰۰ بدافزار Squid Game در گوگل پلی

⚠️ اسکویید گیم (Squid Game) یک سریال کره‌ای است که بتازگی منتشر شده و طرفداران بسیاری دارد.
مجرمان سایبری با استفاده از این محبوبیت، اقدام به ساخت و انتشار بیش از ۲۰۰ بدافزار #جوکر در قالب پس‌زمینه‌ها و بازی‌های Squid Game نموده و دستگاه میلیون‌ها کاربر را آلوده کرده‌اند.

(یکی از این بدافزارها، تنها در عرض ۱۰ روز، بیش از یک میلیون نصب از گوگل پلی گرفته است!)

💣 همانطور که گفته شد این بدافزارها در دسته‌ی بدافزارهای جوکر قرار می‌گیرند و با گرفتن دسترسی به پیامک‌ها، بدون موافقت کاربر، او را عضو سرویس‌های هزینه‌ای پیامکی می‌کنند.
رفتار مخرب دیگر این بدافزارها، کلاهبرداری‌های تبلیغاتی داخل برنامه است.

🔒 این بدافزار توسط ضدبدافزار بیت‌بان شناسایی می‌شود.

🌐 نام و آیکون بدافزارها + تحلیل Squid Game در آزمایشگاه بیت‌بان

⭕️ بدافزار ماینر رمزارز، در پکیج npm جاوا اسکریپت

⚠️ روز گذشته کشف شد که سه نسخه‌ی ua-parser-js پکیج npm جاوا اسکریپت، هک شده و با توجه به اسکریپت‌های اضافه‌ای که در آنها وجود دارد، باینری‌هایی را از یک سرور ریموت دانلود و بر سیستم قربانی اجرا می‌کند.

💸 در صورت اجرای این بدافزار، هکر به اطلاعات حساس کاربر دسترسی، و بر سیستم وی کنترل پیدا می‌کند. بعلاوه یک ماینر رمزارز نیز بر سیستم قربانی نصب می‌شود و منابع محاسباتی آن را مصرف می‌کند.

🛡 چنانچه نسخه‌های 0.7.29، 0.8.0 و 1.0.0 بر سیستم شما نصب است، در اسرع وقت آنها را به نسخه‌‌های 0.7.30، 0.8.1 و 1.0.1 بروزرسانی نمایید.

⛔️ بروزرسانی پکیج npm لزوما به معنای حذف تمام برنامه‌های مخربی که این بدافزار بر سیستم قربانی نصب کرده نیست، از این رو رعایت نکات امنیتی زیر اکیدا توصیه می‌شود.

🌐 توصیه‌ها و تذکرات امنیتی + ۳ کتابخانه‌ی دیگر npm، آلوده به ماینر رمزارز

⭕️ هشدار: با تماس‌های از دست رفته‌ی خارجی تماس نگیرید

📞 گوشی خود را نگاه می‌کنید: دو تماس از دست رفته از یک شماره‌ خارجی دارید، کنجکاو می‌شوید، با شماره تماس می‌گیرید، بلافاصله موسیقی، شاید هم پیامی ضبط شده به انگلیسی یا حتی فارسی، برایتان پخش می‌شود، چند ثانیه یا دقیقه می‌گذرد: خبری نیست، تماس را قطع می‌کنید، آخر ماه قبضی برایتان ارسال می‌شود، تعجب می‌کنید، ناراحت هم می‌شوید،
اما بهتر است یاد آن تماس از دست رفته‌ی خارجی بیفتید!

☎️ این کلاهبرداران بین‌المللی ربات‌هایی را طراحی کرده‌اند که با شماره‌های زیادی تماس می‌گیرند، و با استفاده از سرویس‌های مخابراتی و قراردادهایی که با اپراتورهای خارجی، مبنی بر افزایش درآمد آنها بسته‌اند، بخشی از این درآمد را به خود اختصاص می‌دهند.

💸 گفتنی است که در برخی موارد، چنانچه فرد با شماره‌ی خارجی مذکور تماس بگیرد، نه ربات، که شخصی انسانی پاسخ می‌دهد و با وعده‌ی برنده شدن لاتاری یا جوایز وسوسه‌کننده، سعی می‌کند تماس را طولانی‌تر کند تا پول بیشتری نصیبش شود.

❌ بنابراین جز در مواردی که شماره را می‌شناسید، به هیچ عنوان با تماس‌های خارجی از دست‌رفته تماس نگیرید.

🌐 آیا این تماس‌ها منجر به هک دستگاه شما می‌شوند؟

⭕️ بدافزاری در گوگل پلی که صاحب دستگاه شماست!

⚠️ اخیرا بدافزاری به نام AbstractEmu در قالب برنامه‌هایی کاربردی، در گوگل پلی و برخی دیگر از فروشگاه‌های معتبر اندرویدی منتشر شده، که در صورت نصب بر دستگاه کاربر، دسترسی کاملی به بخش‌های مختلف آن، از جمله موارد زیر پیدا می‌کند.

مخاطبین، تماس‌ها، پیامک‌ها، موقعیت کاربر، میکروفون، دوربین

🔺پس از نصب، بدافزار حجم زیادی از اطلاعات دستگاه و دیگر برنامه‌های نصب شده بر آن را، به سرور C2 هکر ارسال می‌کند.

لیست اطلاعات ارسالی به سرور هکر

🔺در مرحله‌ی بعد، بدافزار با سوءاستفاده از برخی آسیب‌پذیری‌ها، سعی می‌کند دستگاه را روت کند.
با این کار، هکر دسترسی کاملی به تمام فولدرها و فایل‌های دستگاه پیدا می‌کند و می‌تواند بسته به اهداف خود، آنها را تغییر دهد.

۶ آسیب‌پذیری مورد استفاده برای روت کردن

🔺در نهایت بدافزار یک برنامه‌ی دیگر بر دستگاه نصب می‌کند، که مجوزهای بسیاری را دریافت و کنترل و نظارت کاملی به بخش‌های مختلف دستگاه پیدا می‌کند.

اعمال مخرب این برنامه

🔷 این بدافزار توسط ضدبدافزار بیت‌بان شناسایی می‌شود.

🌐 نام، آیکون و مشخصات بدافزارها

⭕️ بروزرسانی جعلی گوگل کروم
آلودگی پوش نوتیفیکیشن سایت‌ها به بدافزار


⚠️ وارد یک سایت می‌شوید، بالا سمت چپ/راست یا وسط صفحه یک پنجره باز می‌شود و از شما می‌پرسد که آیا اجازه‌ی ارسال نوتیفیکیشن را به آن می‌دهید؟
بی‌هوا بر «موافقم» یا «Allow» کلیک می‌کنید. بعدتر یک نوتیفیکیشن مبنی بر بروزرسانی مرورگرتان برایتان ارسال می‌شود، به یک صفحه که ظاهر معتبری هم دارد هدایت می‌شوید و بر نصب یا install کلیک می‌کنید، امّا، ناگهان، تمام پسوردهایتان سرقت و رمزارزهایتان دود می‌شود!

⛔️ DO NOT Allow "Show notifictions" in websites.

💣 این خانواده از بدافزارهای پاپ-آپ مرورگر که RedPush نامیده می‌شوند، پس از دریافت اجازه‌ی ارسال پوش نوتیفیکیشن، توانایی ارسال نوتیفیکیشن‌های toast را هم خواهند داشت، که بواسطه‌ی آن می‌توانند کاربر را با تبلیغات اسپم آزار دهند و با هدایت وی به صفحات بروزرسانی‌های جعلی برنامه‌های پرکاربرد، سیستمش را آلوده کنند.

🔺 از جمله دیگر اعمال مخرب این بدافزارها علاوه بر سرقت پسورد و رمزارز، می‌توان به جلوگیری از بروزرسانی مرورگر و اجرای کدهای دلخواه و مخرب بر سیستم قربانی اشاره کرد.

✅ بروزرسانی اصلی گوگل کروم

از طرف دیگر سه روز پیش گوگل کروم یک بروزرسانی جدید منتشر کرد، که ۸ نقص امنیتی را در آن برطرف نموده و توصیه می‌شود هرچه سریعتر آن را نصب نمایید.

⚙️ روش بروزرسانی

Help > About Google Chrome > Relaunch
>> Version 95.0.4638.69

🌐 اطلاعات دامنه‌های مخرب و بدافزارها
+ روش حذف پوش نوتیفیکیشن مخرب
+ مسدود کردن همیشگی پوش نوتیفیکیشن

⭕️ هشدار به یوتیوبرها:
این ۱۲ بدافزار کانال یوتیوب شما را هک می‌کنند

⚠️ سناریو

شما صاحب یک کانال پربازدید یوتیوب هستید، ایمیلی جهت درخواست تبلیغات برایتان ارسال می‌شود، ارسال کننده خود را عضو یک شرکت نرم‌افزاری معرفی می‌کند و از شما می‌خواهد که محصول شرکت را در کانال خود معرفی کنید.
در انتهای ایمیل قید می‌کند که در این ویدئوی تبلیغاتی، شما باید روش نصب و استفاده از برنامه را به مخاطبین آموزش دهید.
در صورت توافق شما، ایمیل دیگری برایتان ارسال می‌شود که لینک دانلود برنامه در آن قرار گرفته است.
حال شما در حال ضبط ویدئو، برنامه را نصب می‌کنید، و کمی بعدتر متوجه می‌شوید که کانال یوتیوب‌تان هک و از دسترسی خارج شده است.

💣 در واقع برنامه‌ای که یوتیوبر آن را بر سیستم خود نصب می‌کند، بدافزاری است که شناسه و رمز عبور کانال وی را سرقت و برای هکر ارسال می‌کند.

💸 اما بعد چه می‌شود؟
هکر پس از دسترسی به کانال، تمام مشخصات آن را تغییر می‌دهد و با توجه به مخاطبین زیاد کانال، به کلاهبرداری رمزارزها می‌پردازد.

🌐 اطلاعات بدافزارها + توصیه‌های امنیتی

📣 متولی امنیت فضای مجازی کیست؟

🎥 امشب ساعت ۲۲ گفتگویی حول پرسش فوق، با حضور کارشناسان فضای مجازی صورت خواهد گرفت، که مدیرعامل شرکت بیت‌بان، مهمان اصلی آن خواهد بود.

💡 در این گفتگو به نقد سیاست‌گذاری‌های مربوط به امنیت فضای مجازی پرداخته، و راهکارهایی جهت بهبود و ارتقای آن ارائه خواهد شد.

📍 این گفتگو اینجا برگزار می‌شود و کاربران می‌توانند ورود با گزینه‌ی مهمان را انتخاب و پرسش‌های خود را در صورت تمایل مطرح نمایند.


🕰 زمان: شنبه ۱۴۰۰/۸/۱۵ - ساعت ۲۲

🔗 لینک ورود (ورود با گزینه‌ی مهمان)

🖥 پخش همزمان در آپارات

⭕️ کلاهبرداری به اسم بیت‌بان با یک بدافزار در گوگل پلی

⚠️ با جستجوی نام اپلیکیشن بیت‌بان در گوگل، در صفحات اول تا سوم، وب‌سایتی با دامنه‌ی flashvid[.]ir بالا می‌آید، که صفحه‌ای با عنوان «اموزش راه اندازی و کار با اپلیکیشن بیت بان» در آن قرار گرفته است.

۱. بالای صفحه ظاهرا ویدئویی است که قرار است آموزش در آن قرار گرفته باشد، اما با کلیک بر آن، کاربر به چندین صفحه هدایت، و درخواست اخذ مجوز نوتیفیکیشن، برای وی نمایش داده می‌شود.

۲. در صورت بازگشت از آن صفحه، صفحه‌ی دیگری باز می‌شود که از کاربر می‌خواهد برنامه‌ای را در گوگل پلی نصب کند.

۳. این سایت برای ترغیب کاربر به نصب برنامه، به وی اخطاری جعلی می‌دهد که ۴ ویروس بر دستگاهش وجود دارد و برای پاکسازی باید این اپلیکیشن را دانلود و نصب کند.

⛔️ اما برنامه‌ی مذکور، تبلیغ‌افزار و پوچ‌افزار است، چراکه کارکردی واقعی ندارد، و پیاپی تبلیغاتی را به کاربر نمایش می‌دهد.

🌐 جزئیات روش کلاهبرداری + تحلیل بدافزار Solo Cleaner

⭕️ والت‌های تقلبی رمزارز در تبلیغات گوگل (Google Ads)

💸 نام والت موردنظرتان را در گوگل جستجو می‌کنید، بی‌حواس لینک اول که تبلیغات گوگل است را باز می‌کنید، والت خود را می‌سازید، یا در صورت داشتن والت از قبل، پسورد یا ریکاوری کدهای خود را وارد و والت را باز می‌کنید. کمی بعد متوجه می‌شوید کل رمزارزهایتان به سرقت رفته!

کلاهبرداران با طراحی سایت‌های جعلی به اسم پلتفرم‌ها و والت‌هایی معروف، و قرار دادن لینک این سایت‌ها در Google Ads، کاربران زیادی را جذب، و پس از ضبط پسوردها یا ریکاوری کدهای آنها، والت‌شان را خالی می‌کنند.

💰متاسفانه تنها در هفته‌ی گذشته، کلاهبرداران بیش از ۵۰۰ هزار دلار رمزارز را، به این روش سرقت کرده‌اند.

🎩 از جمله پلتفرم‌ها و والت‌هایی که کلاهبرداری به اسم آنها صورت گرفته:

> Phantom App
> MetaMask
> Pancake Swap

🌐 دامنه‌های اصل و تقلبی + توصیه‌های امنیتی

⭕️ هشدار فوری: ۹ همراه بانک جعلی ایرانی در گوگل پلی

⚠️ بتازگی ۹ بدافزار به اسم «همراه بانک» بانک‌های اصلی کشور، در گوگل پلی منتشر شده‌اند، که در صورت دانلود و نصب، اطلاعات دستگاه کاربر را سرقت، وی را به صفحات فیشینگ هدایت، و حسابش را خالی می‌کنند.

⛔️ پس از نصب برنامه، برای استفاده از امکانات آن، از کاربر خواسته می‌شود با پرداخت ۳۰ هزار تومان، نسخه‌ی دیگری را نصب کند.
اما برای پرداخت، کاربر به یک صفحه‌ی فیشینگ هدایت، اطلاعاتش سرقت و حسابش خالی می‌شود.

🏦 بانک‌هایی که این بدافزارها به اسم آنها منتشر شده‌اند:

کشاورزی - انصار - رسالت - سپه - صادرات - رفاه - پارسیان - ملی - توسعه تعاون

🔸 همراه بانک‌ها را، فقط و فقط، از سایت اصلی بانک مورد نظر، یا فروشگاه‌های معتبر داخلی دانلود کنید.

🔺 این بدافزارها نه توسط گوگل پلی پروتکت و نه هیچ‌کدام از آنتی‌ویروس‌های خارجی تشخیص داده نمی‌شوند، اما؛

🔹 ضدبدافزار بیت‌بان تمامی این بدافزارها را شناسایی می‌کند.

🔗 جهت حفظ امنیت دستگاه خود، توصیه می‌کنیم اپلیکیشن بیت‌بان را دانلود و نصب نمایید.

🌐 جدول مشخصات همراه بانک‌های جعلی + لینک دانلود همراه بانک‌های اصلی

⭕️ شوک بزرگ به سونی: قفل PS5 شکسته شد!

🎮 در چند روز گذشته، یک تیم هکری و یک متخصص امنیت گوگل، بطور مجزا، توییت‌های منتشر کردند، که نشان می‌دهد توانسته‌اند PS5 را هک و به آن دسترسی یابند.

🔓 تیم هکری fail0verflow که سابقه‌ای طولانی در هک کردن پلی‌استیشن‌های سونی دارد، اسکرین‌شاتی را منتشر و اعلام کرد که به کلیدهای روت PS5 دسترسی پیدا کرده است.
به کمک این کلیدها هکر می‌تواند پکیج منیجر Homebrew را اجرا و پکیج‌های مدنظرش را نصب کند.

🔒 نفوذ بعدی توسط theflow0 که یک متخصص امنیت است صورت گرفته، که توانسته با اکسپلویت کرنل PS5، گزینه‌ی Debug Settings را در تنظیمات دستگاه، فعال کند و به آن دسترسی یابد.

🔺در نهایت این هک‌ها می‌توانند قفل PS5 را باز و سرنوشت PS4 را تکرار کنند!

🌐 پیام‌ها و اسکرین‌شات‌های هکرها

⭕️ هک حساب بانکی و والت رمزارز
با بدافزار پیشرفته SharkBot

⚠️ این بدافزار در قالب برنامه‌های مختلفی مانند Media Player ،Data Recovery و Live TV منتشر شده و در زمان نصب، بطور پیوسته از کاربر درخواست می‌کند که Accessibility Services را فعال نماید.

⛔️ در صورت نصب، بدافزار با استفاده از همین سرویس‌ها، اطلاعات حساس قربانی مانند موجودی حساب یا رمزارز وی، اطلاعات ورود به اپلیکیشن‌های مالی و والت‌های رمزارز و اطلاعات شخصی‌اش را، ضبط می‌کند.

علت عدم تشخیص SharkBot توسط اکثر آنتی‌ویروس‌ها

💸 سپس با استفاده از تکنیک ATS، تمام احراز هویت‌های دوعاملی را دور می‌زند و اطلاعات واریز پول یا رمزارز را بطور خودکار پر، و در نتیجه، والت یا حساب قربانی را خالی می‌کند.

حمله ATS چیست؟

🛡این بدافزار توسط ضدبدافزار بیت‌بان شناسایی می‌شود.

🌐 اطلاعات شناسه‌ای بدافزار SharkBot + تحلیل آن در آزمایشگاه بیت‌بان

⭕️ ۱۱ پکیج آلوده به بدافزار در پایتون

⚠️ یکی از روش‌های نسبتا جدید نفوذ، آلوده کردن ریپوزیتوری‌های منبع باز به بدافزار است. به عنوان نمونه می‌توان به پکیج npm جاوا اسکریپت و ۸ پیکیج آلوده‌ی پایتون اشاره کرد.

⛔️ اخیرا ۱۱ پکیج دیگر PyPI کشف شده‌اند، که آلوده به بدافزار هستند و تاکنون بیش از ۴۱ هزار نصب داشته‌اند.

🎭 نکته‌ی جالب توجه در مورد این بدافزارها، روش‌هایی مانند تونل‌زنی DNS است که برای جلوگیری از شناسایی‌شان استفاده می‌کنند.

💣 اعمال مخرب این پکیج‌های آلوده

‍۱. سرقت توکن‌های احراز هویت Discord
۲. دسترسی از راه دور به سیستم قربانی
۳. جمع‌آوری اطلاعات کاربر
۴. سرقت پسوردها

✅ این پکیج‌های آلوده از PyPI حذف شده‌اند، چنانچه از آنها استفاده می‌کنید، سریعا حذفشان کنید.

🌐 نام پکیج‌های آلوده به بدافزار و تعداد نصب آنها

⭕️ ترفند جدید نصب بدافزار با ایمیل آلوده

⚠️ ایمیلی برای یکی از دوستان، همکاران یا اساتید خود فرستاده‌اید. کمی بعد ایمیلی از طرف همان شخص دریافت می‌کنید که حاوی دو لینک عجیب و غریب است!
بعید می‌دانید که خطرناک باشد، بر لینک‌ها کلیک می‌کنید، یک فایل ZIP بر دستگاه یا سیستم‌تان دانلود می‌شود.
فایل را باز می‌کنید، یک فایل اکسل در آن است، آن را هم باز می‌کنید، Enable Editing را می‌زنید.
کمی بعد، اطلاعات‌تان دست شخص دیگری است!

📪 این حملات توسط کمپین Squirrelwaffle، با استفاده از آسیب‌پذیری‌های میل سرور مایکروسافت نسبت به اکسپلویت‌های ProxyShell و ProxyLogon صورت می‌گیرند.

📬استفاده از این تکنیک باعث می‌شود فیلترهای سرویس ایمیلی مایکروسافت، نتوانند این ایمیل‌های آلوده را تشخیص دهند و کاربران هم اعتماد و توجه بیشتری به آنها داشته باشند.

⛔️ در نهایت در صورت باز کردن فایل اکسل مذکور توسط کاربر،بدافزار Qbot که یک تروجان بانکی است یا Cobalt Strike که ابزار هک و نصب بدافزار است، بر سیستم قربانی دانلود و نصب می‌شود.

🌐 بروزرسانی و نصب وصله‌های آسیب‌پذیری‌ها + جزئیات حمله

⭕️ دو برابر شدن بدافزارهای پیامکی ثنا و عدالت همراه!

⚠️ اواسط شهریور امسال، باند ۵ نفره‌ای از کلاهبرداران پیامکی قوه قضاییه توسط پلیس فتا دستگیر شدند.
با این حال، از همان تاریخ تا امروز، تعداد بدافزارهایی که به اسم سامانه ثنا و عدالت همراه منتشر شده‌اند، تقریبا دو برابر شده‌اند (۱۷۰۰ بدافزار) و بالطبع، قربانیان آن نیز افزایش یافته‌اند.

🔺 در مورد روش این کلاهبرداری می‌توانید این پست را مطالعه کنید.

❌ اعمال مخرب این بدافزارها:

> ارسال اطلاعات دستگاه به سرور C&C
> ارسال پیامک‌های دریافتی به سرور
> بارگذاری لیست مخاطبین در سرور
> ارسال پیامک به سایر مخاطبین
> مخفی کردن آیکون برنامه

🌐 جدول مشخصات ۳۳۰ بدافزار ثنا و عدالت همراه + تحلیل

⭕️ کودکان، هدف اصلی ۱۹۰ بدافزار با ۹.۳ میلیون نصب!

⚠️ این بدافزارها که به اسم Cynos شناخته می‌شوند، در قالب بازی‌هایی که مخاطب اصلی آنها کودکان بوده‌اند، در اپ‌گالری هواوی منتشر شده‌اند و پس از شناسایی آنها به عنوان بدافزار، از اپ‌گالری حذف شدند.

🔺 این بازی‌ها، اطلاعات کاربر از جمله موارد زیر را سرقت، و به سرور C&C هکر ارسال می‌کنند، و در نهایت متناسب با این اطلاعات، تبلیغاتی را به کاربر نمایش می‌دهند.

> شماره تلفن
> موقعیت مکانی
> پارامترهای شبکه‌ی موبایل
> مشخصات دستگاه
> نسخه‌ی اندروید

⛔️ دیگر اعمال مخرب این بدافزارها:

> ارسال پیامک‌های هزینه‌ای
> ایجاد اختلال در پیامک‌های دریافتی
> دانلود ماژول‌های اضافه
> دانلود و نصب برنامه‌های دیگر

🛡این بدافزارها همگی توسط ضدبدافزار بیت‌بان، شناسایی می‌شوند.

🌐 مشخصات این بدافزارها