⭕️ ترفند جدید نصب بدافزار با ایمیل آلوده
⚠️ ایمیلی برای یکی از دوستان، همکاران یا اساتید خود فرستادهاید. کمی بعد ایمیلی از طرف همان شخص دریافت میکنید که حاوی دو لینک عجیب و غریب است!
بعید میدانید که خطرناک باشد، بر لینکها کلیک میکنید، یک فایل ZIP بر دستگاه یا سیستمتان دانلود میشود.
فایل را باز میکنید، یک فایل اکسل در آن است، آن را هم باز میکنید، Enable Editing را میزنید.
کمی بعد، اطلاعاتتان دست شخص دیگری است!
📪 این حملات توسط کمپین Squirrelwaffle، با استفاده از آسیبپذیریهای میل سرور مایکروسافت نسبت به اکسپلویتهای ProxyShell و ProxyLogon صورت میگیرند.
📬استفاده از این تکنیک باعث میشود فیلترهای سرویس ایمیلی مایکروسافت، نتوانند این ایمیلهای آلوده را تشخیص دهند و کاربران هم اعتماد و توجه بیشتری به آنها داشته باشند.
⛔️ در نهایت در صورت باز کردن فایل اکسل مذکور توسط کاربر،بدافزار Qbot که یک تروجان بانکی است یا Cobalt Strike که ابزار هک و نصب بدافزار است، بر سیستم قربانی دانلود و نصب میشود.
🌐 بروزرسانی و نصب وصلههای آسیبپذیریها + جزئیات حمله
⚠️ ایمیلی برای یکی از دوستان، همکاران یا اساتید خود فرستادهاید. کمی بعد ایمیلی از طرف همان شخص دریافت میکنید که حاوی دو لینک عجیب و غریب است!
بعید میدانید که خطرناک باشد، بر لینکها کلیک میکنید، یک فایل ZIP بر دستگاه یا سیستمتان دانلود میشود.
فایل را باز میکنید، یک فایل اکسل در آن است، آن را هم باز میکنید، Enable Editing را میزنید.
کمی بعد، اطلاعاتتان دست شخص دیگری است!
📪 این حملات توسط کمپین Squirrelwaffle، با استفاده از آسیبپذیریهای میل سرور مایکروسافت نسبت به اکسپلویتهای ProxyShell و ProxyLogon صورت میگیرند.
📬استفاده از این تکنیک باعث میشود فیلترهای سرویس ایمیلی مایکروسافت، نتوانند این ایمیلهای آلوده را تشخیص دهند و کاربران هم اعتماد و توجه بیشتری به آنها داشته باشند.
⛔️ در نهایت در صورت باز کردن فایل اکسل مذکور توسط کاربر،بدافزار Qbot که یک تروجان بانکی است یا Cobalt Strike که ابزار هک و نصب بدافزار است، بر سیستم قربانی دانلود و نصب میشود.
🌐 بروزرسانی و نصب وصلههای آسیبپذیریها + جزئیات حمله
⭕️ دو برابر شدن بدافزارهای پیامکی ثنا و عدالت همراه!
⚠️ اواسط شهریور امسال، باند ۵ نفرهای از کلاهبرداران پیامکی قوه قضاییه توسط پلیس فتا دستگیر شدند.
با این حال، از همان تاریخ تا امروز، تعداد بدافزارهایی که به اسم سامانه ثنا و عدالت همراه منتشر شدهاند، تقریبا دو برابر شدهاند (۱۷۰۰ بدافزار) و بالطبع، قربانیان آن نیز افزایش یافتهاند.
🔺 در مورد روش این کلاهبرداری میتوانید این پست را مطالعه کنید.
❌ اعمال مخرب این بدافزارها:
⚠️ اواسط شهریور امسال، باند ۵ نفرهای از کلاهبرداران پیامکی قوه قضاییه توسط پلیس فتا دستگیر شدند.
با این حال، از همان تاریخ تا امروز، تعداد بدافزارهایی که به اسم سامانه ثنا و عدالت همراه منتشر شدهاند، تقریبا دو برابر شدهاند (۱۷۰۰ بدافزار) و بالطبع، قربانیان آن نیز افزایش یافتهاند.
🔺 در مورد روش این کلاهبرداری میتوانید این پست را مطالعه کنید.
❌ اعمال مخرب این بدافزارها:
> ارسال اطلاعات دستگاه به سرور C&C
> ارسال پیامکهای دریافتی به سرور
> بارگذاری لیست مخاطبین در سرور
> ارسال پیامک به سایر مخاطبین
> مخفی کردن آیکون برنامه
🌐 جدول مشخصات ۳۳۰ بدافزار ثنا و عدالت همراه + تحلیل⭕️ کودکان، هدف اصلی ۱۹۰ بدافزار با ۹.۳ میلیون نصب!
⚠️ این بدافزارها که به اسم Cynos شناخته میشوند، در قالب بازیهایی که مخاطب اصلی آنها کودکان بودهاند، در اپگالری هواوی منتشر شدهاند و پس از شناسایی آنها به عنوان بدافزار، از اپگالری حذف شدند.
🔺 این بازیها، اطلاعات کاربر از جمله موارد زیر را سرقت، و به سرور C&C هکر ارسال میکنند، و در نهایت متناسب با این اطلاعات، تبلیغاتی را به کاربر نمایش میدهند.
> شماره تلفن
> موقعیت مکانی
> پارامترهای شبکهی موبایل
> مشخصات دستگاه
> نسخهی اندروید
⛔️ دیگر اعمال مخرب این بدافزارها:
> ارسال پیامکهای هزینهای
> ایجاد اختلال در پیامکهای دریافتی
> دانلود ماژولهای اضافه
> دانلود و نصب برنامههای دیگر
🛡این بدافزارها همگی توسط ضدبدافزار بیتبان، شناسایی میشوند.
🌐 مشخصات این بدافزارها
⚠️ این بدافزارها که به اسم Cynos شناخته میشوند، در قالب بازیهایی که مخاطب اصلی آنها کودکان بودهاند، در اپگالری هواوی منتشر شدهاند و پس از شناسایی آنها به عنوان بدافزار، از اپگالری حذف شدند.
🔺 این بازیها، اطلاعات کاربر از جمله موارد زیر را سرقت، و به سرور C&C هکر ارسال میکنند، و در نهایت متناسب با این اطلاعات، تبلیغاتی را به کاربر نمایش میدهند.
> شماره تلفن
> موقعیت مکانی
> پارامترهای شبکهی موبایل
> مشخصات دستگاه
> نسخهی اندروید
⛔️ دیگر اعمال مخرب این بدافزارها:
> ارسال پیامکهای هزینهای
> ایجاد اختلال در پیامکهای دریافتی
> دانلود ماژولهای اضافه
> دانلود و نصب برنامههای دیگر
🛡این بدافزارها همگی توسط ضدبدافزار بیتبان، شناسایی میشوند.
🌐 مشخصات این بدافزارها
⭕️ هک برنامههای بانکی و والتهای رمزارز توسط یک بدافزار تلگرامی
⚠️ یک بدافزار بانکی اندرویدی به نام Aberebot با قیمت ۷۰۰۰ دلار به فروش گذاشته شده، که در صورت نصب بر دستگاه کاربر، اطلاعات شخصی همچون اطلاعات برنامههای بانکی و والتهای رمزارز وی را سرقت میکند.
🔺اعمال مخرب این تروجان به موارد بالا محدود نمیشود و نسخهی v2.0 آن میتواند حتی به پیامهای قربانی در پیامرسانها و جیمیل نیز دسترسی یابد.
🔗 لیست اعمال مخرب Aberebot
⚙️ این بدافزار از API بات تلگرام به عنوان سرور کنترل و فرمان استفاده میکند، چراکه باتهای تلگرامی را نمیتوان مانند وب سرورها از کار انداخت.
🔗 لیست برنامههای بانکی و والتهای رمزارز مورد هدف Aberebot
🛡 تروجان Aberebot توسط ضدبدافزار بیتبان شناسایی میشود.
🌐 نتیجهی تحلیل بدافزار Aberebot در آزمایشگاه بیتبان
⚠️ یک بدافزار بانکی اندرویدی به نام Aberebot با قیمت ۷۰۰۰ دلار به فروش گذاشته شده، که در صورت نصب بر دستگاه کاربر، اطلاعات شخصی همچون اطلاعات برنامههای بانکی و والتهای رمزارز وی را سرقت میکند.
🔺اعمال مخرب این تروجان به موارد بالا محدود نمیشود و نسخهی v2.0 آن میتواند حتی به پیامهای قربانی در پیامرسانها و جیمیل نیز دسترسی یابد.
🔗 لیست اعمال مخرب Aberebot
⚙️ این بدافزار از API بات تلگرام به عنوان سرور کنترل و فرمان استفاده میکند، چراکه باتهای تلگرامی را نمیتوان مانند وب سرورها از کار انداخت.
🔗 لیست برنامههای بانکی و والتهای رمزارز مورد هدف Aberebot
🛡 تروجان Aberebot توسط ضدبدافزار بیتبان شناسایی میشود.
🌐 نتیجهی تحلیل بدافزار Aberebot در آزمایشگاه بیتبان
⭕️ روش جدید انتشار بدافزار در گوگل پلی
⚠️ در ۴ ماه گذشته، ۴ خانوادهی مختلف از تروجانهای بانکی در گوگل پلی منتشر شدهاند، که بیش از ۳۰۰ هزار نصب داشتهاند و سندباکس گوگل پلی قادر به شناسایی آنها نبوده است!
⛔️ با توجه به اینکه اواسط نوامبر امسال، گوگل پلی محدودیتهایی جدی برای استفاده از Accessibility Services وضع کرده، هکرها نیازمند روشهای دیگری برای انتشار بدافزار در گوگل پلی هستند.
🔸 در این روش، مهاجم برنامههایی کاربردی را منتشر میکند، که پاک هستند و کارکرد خوب و با کیفیتی دارند.
🔖 لیست برنامههای منتشر شده
🔸 اما بعدتر از کاربر خواسته میشود که برنامه را بروزرسانی کند و مجوز نصب برنامههای دیگر را به برنامه بدهد، که در صورت موافقت، بدافزار بر دستگاه وی نصب میشود و اطلاعات مالی و والتهای رمزارز وی را سرقت میکند.
🖥 این بدافزارها جهت جلوگیری از شناسایی توسط تحلیلگرها، اطلاعات مختلف دستگاه کاربر را دریافت میکنند تا مانع از نصب بدافزار بر محیطهای مجازی و شبیهسازها شوند.
💎 این بدافزارها توسط ضدبدافزار بیتبان شناسایی میشوند.
🌐 مشخصات بدافزارها + برنامههای بانکی، صرافیها و والتهای مورد هدف
⚠️ در ۴ ماه گذشته، ۴ خانوادهی مختلف از تروجانهای بانکی در گوگل پلی منتشر شدهاند، که بیش از ۳۰۰ هزار نصب داشتهاند و سندباکس گوگل پلی قادر به شناسایی آنها نبوده است!
⛔️ با توجه به اینکه اواسط نوامبر امسال، گوگل پلی محدودیتهایی جدی برای استفاده از Accessibility Services وضع کرده، هکرها نیازمند روشهای دیگری برای انتشار بدافزار در گوگل پلی هستند.
🔸 در این روش، مهاجم برنامههایی کاربردی را منتشر میکند، که پاک هستند و کارکرد خوب و با کیفیتی دارند.
🔖 لیست برنامههای منتشر شده
🔸 اما بعدتر از کاربر خواسته میشود که برنامه را بروزرسانی کند و مجوز نصب برنامههای دیگر را به برنامه بدهد، که در صورت موافقت، بدافزار بر دستگاه وی نصب میشود و اطلاعات مالی و والتهای رمزارز وی را سرقت میکند.
🖥 این بدافزارها جهت جلوگیری از شناسایی توسط تحلیلگرها، اطلاعات مختلف دستگاه کاربر را دریافت میکنند تا مانع از نصب بدافزار بر محیطهای مجازی و شبیهسازها شوند.
💎 این بدافزارها توسط ضدبدافزار بیتبان شناسایی میشوند.
🌐 مشخصات بدافزارها + برنامههای بانکی، صرافیها و والتهای مورد هدف
⭕️ تغییر سرشمارهی پیامک قوه قضاییه
پیرو کلاهبرداریهای پیامکی گستردهای که به اسم قوه قضاییه، در چند ماه گذشته صورت گرفته، سرشمارهی پیامک این قوه به ADLIRAN تغییر یافت.
از این پس، تمامی پیامکهای سامانههای قوه قضاییه، شامل ثنا، ابلاغ، نظرسنجی و اطلاعرسانی با همین سرشماره ارسال خواهند شد.
⚠️ توجـــــــــــــــــــــــــــــــه
۱. هرگونه پیامکی به اسم قوه قضاییه، جز این سرشماره، کلاهبرداری است.
۲. تنها اپلیکیشن معتبر خدمات الکترونیک قضایی، عدالت همراه است.
⚖️ دامنههای معتبر قوه قضاییه
درگاه خدمات الکترونیک قضایی
adliran.ir
سامانه ابلاغ الکترونیک
eblagh.adliran.ir
سامانه اطلاع رسانی پرونده
resultcase.adliran.ir
سامانه ثبتنام الکترونیک ثنا
sana.adliran.ir
درگاه ملی قوه قضاییه
eadl.ir
پیرو کلاهبرداریهای پیامکی گستردهای که به اسم قوه قضاییه، در چند ماه گذشته صورت گرفته، سرشمارهی پیامک این قوه به ADLIRAN تغییر یافت.
از این پس، تمامی پیامکهای سامانههای قوه قضاییه، شامل ثنا، ابلاغ، نظرسنجی و اطلاعرسانی با همین سرشماره ارسال خواهند شد.
⚠️ توجـــــــــــــــــــــــــــــــه
۱. هرگونه پیامکی به اسم قوه قضاییه، جز این سرشماره، کلاهبرداری است.
۲. تنها اپلیکیشن معتبر خدمات الکترونیک قضایی، عدالت همراه است.
⚖️ دامنههای معتبر قوه قضاییه
درگاه خدمات الکترونیک قضایی
adliran.ir
سامانه ابلاغ الکترونیک
eblagh.adliran.ir
سامانه اطلاع رسانی پرونده
resultcase.adliran.ir
سامانه ثبتنام الکترونیک ثنا
sana.adliran.ir
درگاه ملی قوه قضاییه
eadl.ir
🔷 مصطفی محمودیان مدیرعامل جدید بیتبان
🔹 دکتر امیر لاجوردی، مدیرعامل شرکت بیتبان، با حکم عیسی زارعپور، وزیر ارتباطات و فناوری اطلاعات، به عنوان نمایندهی ویژهی وزیر در حوزه امنیت فاوا انتخاب شدند.
🔸 در این راستا مصطفی محمودیان، همبنیانگذار شرکت بیتبان، کارشناس ارشد فناوری اطلاعات و متخصص امنیت فضای مجازی، بزودی به عنوان مدیرعامل جدید شرکت بیتبان منصوب خواهند شد.
🔗 لینک خبر
🔹 دکتر امیر لاجوردی، مدیرعامل شرکت بیتبان، با حکم عیسی زارعپور، وزیر ارتباطات و فناوری اطلاعات، به عنوان نمایندهی ویژهی وزیر در حوزه امنیت فاوا انتخاب شدند.
🔸 در این راستا مصطفی محمودیان، همبنیانگذار شرکت بیتبان، کارشناس ارشد فناوری اطلاعات و متخصص امنیت فضای مجازی، بزودی به عنوان مدیرعامل جدید شرکت بیتبان منصوب خواهند شد.
🔗 لینک خبر
⭕️ فعالساز ویندوز و آفیس یا سارق ارز دیجیتال و مرورگر؟
⚠️ کاربر برای فعالسازی رایگان ویندوز و آفیس، نرمافزار غیرقانونی KMSPico را دانلود میکند.
🔓هنگام نصب از او خواسته میشود که آنتیویروسهایش را غیرفعال کند، که همین امر ریسک آلودگی سیستم کاربر را افزایش میدهد.
🔺بعد از نصب و استفاده، KMSPico ویندوز و آفیس را فعال میکند اما؛
🦠 همراه با آن، بدافزار Cryptbot نیز بر سیستم کاربر نصب میشود!
💰این بدافزار اطلاعات محرمانه و پسوردهای کاربر را از ۷ مرورگر معتبر مانند گوگل کروم و موزیلا، و ۱۰ والت ارز دیجیتال مانند اتمیک و Ledger Live سرقت و برای مهاجم ارسال میکند.
🌐 لیست ۷ مرورگر و ۱۰ والت ارز دیجیتال
⚠️ کاربر برای فعالسازی رایگان ویندوز و آفیس، نرمافزار غیرقانونی KMSPico را دانلود میکند.
🔓هنگام نصب از او خواسته میشود که آنتیویروسهایش را غیرفعال کند، که همین امر ریسک آلودگی سیستم کاربر را افزایش میدهد.
🔺بعد از نصب و استفاده، KMSPico ویندوز و آفیس را فعال میکند اما؛
🦠 همراه با آن، بدافزار Cryptbot نیز بر سیستم کاربر نصب میشود!
💰این بدافزار اطلاعات محرمانه و پسوردهای کاربر را از ۷ مرورگر معتبر مانند گوگل کروم و موزیلا، و ۱۰ والت ارز دیجیتال مانند اتمیک و Ledger Live سرقت و برای مهاجم ارسال میکند.
🌐 لیست ۷ مرورگر و ۱۰ والت ارز دیجیتال
⭕️ گوگل، بلاکچین و باتنت Glupteba
⚠️ گوگل برای از کار انداختن باتنت Glupteba که نزدیک به یک میلیون دستگاه ویندوزی را آلوده کرده، ۶۳ میلیون Google Docs، بیش از هزار اکانت گوگل، ۹۰۰ پروژهی ابری، و ۸۷۰ حساب کاربری گوگل ادز را غیرفعال کرد.
🔺 تفاوت Glupteba با دیگر باتنتها در استفادهی آن از تکنولوژی بلاکچین برای بالا نگه داشتن سرورهای C&C آن است.
🌐 روش استفادهی Glupteba از بلاکچین
💣 اعمال مخرب
> سرقت اطلاعات محرمانه و کوکیها
> استخراج رمزارز بر هاستهای آلوده
> هدایت ترافیک اینترنت کاربر به ماشینها و روترهای آلوده
🌪 راههای انتشار
> تبلیغات کلیکی
> در قالب نرمافزارها و بازیهای پرطرفدار کرک شده
> استفاده از اکسپلویت EternalBlue
🌐 مشخصات برخی دامنهها و نمونههای Glupteba
⚠️ گوگل برای از کار انداختن باتنت Glupteba که نزدیک به یک میلیون دستگاه ویندوزی را آلوده کرده، ۶۳ میلیون Google Docs، بیش از هزار اکانت گوگل، ۹۰۰ پروژهی ابری، و ۸۷۰ حساب کاربری گوگل ادز را غیرفعال کرد.
🔺 تفاوت Glupteba با دیگر باتنتها در استفادهی آن از تکنولوژی بلاکچین برای بالا نگه داشتن سرورهای C&C آن است.
🌐 روش استفادهی Glupteba از بلاکچین
💣 اعمال مخرب
> سرقت اطلاعات محرمانه و کوکیها
> استخراج رمزارز بر هاستهای آلوده
> هدایت ترافیک اینترنت کاربر به ماشینها و روترهای آلوده
🌪 راههای انتشار
> تبلیغات کلیکی
> در قالب نرمافزارها و بازیهای پرطرفدار کرک شده
> استفاده از اکسپلویت EternalBlue
🌐 مشخصات برخی دامنهها و نمونههای Glupteba
⭕️ نصب بدافزار بانکی با یک تماس
۱. پیامکی به اسم یک بانک معتبر، حاوی لینک دانلود یک بدافزار، برای افراد ارسال، و از آنها خواسته میشود که پس از نصب برنامه، منتظر تماس اپراتور بانک بمانند.
۲. در صورت کلیک کاربر بر لینک، به صفحهای هدایت میشود که بدافزار BRATA در قالب یک اپلیکیشن آنتیاسپم در آن قرار گرفته است.
🔺۹ عمل مخرب بدافزار BRATA
۳. در این صفحه درگاهی وجود دارد که اطلاعات شخصی قربانی را دریافت و برای مهاجم ارسال میکند.
۴. پس از دانلود بدافزار، کلاهبردار با قربانی تماس میگیرد و با استفاده از مهندسی اجتماعی سعی میکند او را به نصب بدافزار و موافقت با درخواست مجوزهای حساس قانع و ترغیب کند.
۵. در نهایت کلاهبردار با استفاده از accessibility service و دیگر مجوزهای دریافتی، کنترل کاملی به دستگاه قربانی پیدا میکند و از این راه، حساب وی را خالی میکند.
💎 این بدافزار توسط ضدبدافزار بیتبان شناسایی میشود.
🌐 مشخصات بدافزار + تحلیل در آزمایشگاه بیتبان
۱. پیامکی به اسم یک بانک معتبر، حاوی لینک دانلود یک بدافزار، برای افراد ارسال، و از آنها خواسته میشود که پس از نصب برنامه، منتظر تماس اپراتور بانک بمانند.
۲. در صورت کلیک کاربر بر لینک، به صفحهای هدایت میشود که بدافزار BRATA در قالب یک اپلیکیشن آنتیاسپم در آن قرار گرفته است.
🔺۹ عمل مخرب بدافزار BRATA
۳. در این صفحه درگاهی وجود دارد که اطلاعات شخصی قربانی را دریافت و برای مهاجم ارسال میکند.
۴. پس از دانلود بدافزار، کلاهبردار با قربانی تماس میگیرد و با استفاده از مهندسی اجتماعی سعی میکند او را به نصب بدافزار و موافقت با درخواست مجوزهای حساس قانع و ترغیب کند.
۵. در نهایت کلاهبردار با استفاده از accessibility service و دیگر مجوزهای دریافتی، کنترل کاملی به دستگاه قربانی پیدا میکند و از این راه، حساب وی را خالی میکند.
💎 این بدافزار توسط ضدبدافزار بیتبان شناسایی میشود.
🌐 مشخصات بدافزار + تحلیل در آزمایشگاه بیتبان
⭕️ کلاهبرداری شب یلدا و آمازون ایرانی قلابی
⚠️ اخیرا فروشگاهی با نام آمازون ایرانی و آدرس amazoneirani[.]com، با ترفند دریافت وجه و عدم ارسال اجناس، اقدام به کلاهبرداری از شهروندان نموده که با پیگیری پلیس فتا، عاملان آن شناسایی و تحویل مقامات قضایی شدند.
❗️این فروشگاه دارای نماد اعتماد الکترونیکی اینماد نیز بوده، که به نام شخصی مجهول الهویه و مجهول المکان اخذ شده است!
🎩 کلاهبرداری شب یلدا
با نزدیکی به شب یلدا، کسب و کارها فروشهای ویژهای را ترتیب میدهند که کلاهبرداران نیز آن را مغتنم شمرده و همانند حالت فوق، در این پوشش اقدام به سرقت اموال شهروندان میکنند.
🔺 بدافزارهای شب یلدا
در کنار موارد فوق، بدافزارنویسان نیز به انتشار بدافزارهایی در قالب (پیامک، استیکر و مدل سفره) شب یلدا، و انواع فال حافظ میپردازند، که دارای اعمال مخرب زیر هستند:
۱. دانلود برنامههای دیگر
۲. نمایش تبلیغات آزاردهنده
۳. مخفی کردن آیکون برنامـــــه
۴. عضویت کاربر در کانالهای تلگرامی
۵. نمایش یا باز کردن صفحهای در تلگرام
💎 این بدافزارها، توسط ضدبدافزار بیتبان شناسایی میشوند.
🌐 مشخصات ۱۰ بدافزار شب یلدا
⚠️ اخیرا فروشگاهی با نام آمازون ایرانی و آدرس amazoneirani[.]com، با ترفند دریافت وجه و عدم ارسال اجناس، اقدام به کلاهبرداری از شهروندان نموده که با پیگیری پلیس فتا، عاملان آن شناسایی و تحویل مقامات قضایی شدند.
❗️این فروشگاه دارای نماد اعتماد الکترونیکی اینماد نیز بوده، که به نام شخصی مجهول الهویه و مجهول المکان اخذ شده است!
🎩 کلاهبرداری شب یلدا
با نزدیکی به شب یلدا، کسب و کارها فروشهای ویژهای را ترتیب میدهند که کلاهبرداران نیز آن را مغتنم شمرده و همانند حالت فوق، در این پوشش اقدام به سرقت اموال شهروندان میکنند.
🔺 بدافزارهای شب یلدا
در کنار موارد فوق، بدافزارنویسان نیز به انتشار بدافزارهایی در قالب (پیامک، استیکر و مدل سفره) شب یلدا، و انواع فال حافظ میپردازند، که دارای اعمال مخرب زیر هستند:
۱. دانلود برنامههای دیگر
۲. نمایش تبلیغات آزاردهنده
۳. مخفی کردن آیکون برنامـــــه
۴. عضویت کاربر در کانالهای تلگرامی
۵. نمایش یا باز کردن صفحهای در تلگرام
💎 این بدافزارها، توسط ضدبدافزار بیتبان شناسایی میشوند.
🌐 مشخصات ۱۰ بدافزار شب یلدا
⭕️ هشدار به برنامهنویسان جاوا: آسیبپذیری Log4j و باجافزار خونساری
⚠️ ۹ دسامبر، آسیبپذیریای مربوط به اجرای کد از راه دور در نسخههای
🧯 نسخهی بروزرسانی شده
🔺 این کتابخانهی پردازش لاگ جاوا، استفادهی بسیار زیادی در فریمورکهایی مثل Elasticsearch ،Kafka ،Flink ،Spring و وبسایتها و سرویسهای معروف دارد و از این رو، کاربران بسیاری در معرض خطرات این آسیبپذیری هستند. (+)
🔸 تهدیدات
> نصب Cobalt Strike جهت سرقت اطلاعات
> تشکیل باتنت از دستگاههای آلوده
> استخراج رمزارز
⚙️ جزئیات فنی آسیبپذیری CVE-2021-44228
🔸 باجافزار خونساری
بعلاوه، مهاجمان از این آسیبپذیری جهت راهاندازی حملات باجافزاری نیز استفاده میکنند:
🔺فایلهای قربانی رمز میشود، پیامی حاوی آدرس ایمیل و شماره تلفن به وی نمایش داده میشود تا قربانی با مهاجمان تماس بگیرد و جهت رمزگشایی سیستمش، مقادیر درخواستی را به بیتکوین برای آنها واریز نماید. (متن کامل پیام)
🌐 نقشه پراکندگی استفاده از این آسیبپذیری (ایران با ۹۷۶ مورد!)
⚠️ ۹ دسامبر، آسیبپذیریای مربوط به اجرای کد از راه دور در نسخههای
2.0-beta9 تا 2.14.1 در کتابخانهی Log4j یافت شد، که با CVSS = ۱۰ بیشترین سطح آسیبپذیری را ایجاد میکند.🧯 نسخهی بروزرسانی شده
🔺 این کتابخانهی پردازش لاگ جاوا، استفادهی بسیار زیادی در فریمورکهایی مثل Elasticsearch ،Kafka ،Flink ،Spring و وبسایتها و سرویسهای معروف دارد و از این رو، کاربران بسیاری در معرض خطرات این آسیبپذیری هستند. (+)
🔸 تهدیدات
> نصب Cobalt Strike جهت سرقت اطلاعات
> تشکیل باتنت از دستگاههای آلوده
> استخراج رمزارز
⚙️ جزئیات فنی آسیبپذیری CVE-2021-44228
🔸 باجافزار خونساری
بعلاوه، مهاجمان از این آسیبپذیری جهت راهاندازی حملات باجافزاری نیز استفاده میکنند:
🔺فایلهای قربانی رمز میشود، پیامی حاوی آدرس ایمیل و شماره تلفن به وی نمایش داده میشود تا قربانی با مهاجمان تماس بگیرد و جهت رمزگشایی سیستمش، مقادیر درخواستی را به بیتکوین برای آنها واریز نماید. (متن کامل پیام)
🌐 نقشه پراکندگی استفاده از این آسیبپذیری (ایران با ۹۷۶ مورد!)
⭕️ جوکر در گوگل پلی، اینبار با ۵۰۰ هزار نصب!
⚠️ چهار سال است که بدافزار #جوکر، که به گفتهی گوگل یکی از ماناترین تهدیدات سایبری است، در قالب صدها اپلیکیشن اندرویدی منتشر شده و دستگاههای بسیاری را آلوده کرده است.
🔺جوکر اینبار در قالب برنامهای به نام Color Message به عنوان شخصیساز پیامرسانها، در گوگل پلی منتشر شده و با آلودگی نزدیک به نیم میلیون دستگاه، اعمال مخرب زیر را ترتیب داده است:
> شبیهسازی کلیک کاربر برای درآمدزایی از تبلیغات کلیکی
> به عضویت درآوردن کاربر در سرویسهای پیامکی هزینهای
> دسترسی به مخاطبین کاربر و ارسال آنها به سرورهایی در روسیه!
> مخفی کردن آیکون
💎 این بدافزار توسط ضدبدافزار بیتبان شناسایی میشود.
🌐 مشخصات Color Message + برخی دیگر از بدافزارهای جوکر
⚠️ چهار سال است که بدافزار #جوکر، که به گفتهی گوگل یکی از ماناترین تهدیدات سایبری است، در قالب صدها اپلیکیشن اندرویدی منتشر شده و دستگاههای بسیاری را آلوده کرده است.
🔺جوکر اینبار در قالب برنامهای به نام Color Message به عنوان شخصیساز پیامرسانها، در گوگل پلی منتشر شده و با آلودگی نزدیک به نیم میلیون دستگاه، اعمال مخرب زیر را ترتیب داده است:
> شبیهسازی کلیک کاربر برای درآمدزایی از تبلیغات کلیکی
> به عضویت درآوردن کاربر در سرویسهای پیامکی هزینهای
> دسترسی به مخاطبین کاربر و ارسال آنها به سرورهایی در روسیه!
> مخفی کردن آیکون
💎 این بدافزار توسط ضدبدافزار بیتبان شناسایی میشود.
🌐 مشخصات Color Message + برخی دیگر از بدافزارهای جوکر
⭕️ هک آدرس تراکنشهای رمزارزها
⚠️ بدافزار Phorpiex باتنتی است که نسخهی جدید آن با نام Twizt پس از نصب بر سیستم قربانی، به والتهای رمزارز وی دسترسی مییابد و در صورت انجام تراکنش، آدرس والت مهاجم را جایگزین آدرس گیرندهی موردنظر میکند.
💸 بدافزار Phorpiex در چهار سال گذشته حدودا ۳۰۰۰ تراکنش را هک و نزدیک به ۲.۵ میلیون دلار رمزارز را سرقت کرده است.
- (باتنت Twizt در یک سال گذشته ۹۶۹ تراکنش و نیم میلیون دلار)
👾 بدافزار Twizt باتنتی نظیر به نظیر است که به علت عدم استفاده از سرورهای کنترل و فرمان متمرکز و در نظر گرفتن هر سیستم آلوده به عنوان یک سرور، سختتر شناسایی و متوقف میشود.
💡 اکیدا توصیه میشود هنگام انتقال رمزارزها، آدرسها را با دقت، و کاراکتر به کاراکتر بررسی کنید، و برای دانلود و ورود به والتها، وارد لینکهای Google ads نشوید.
🌐 مشخصات بدافزار + کشورهای مورد هدف + لیست رمزارزهای سرقتی
⚠️ بدافزار Phorpiex باتنتی است که نسخهی جدید آن با نام Twizt پس از نصب بر سیستم قربانی، به والتهای رمزارز وی دسترسی مییابد و در صورت انجام تراکنش، آدرس والت مهاجم را جایگزین آدرس گیرندهی موردنظر میکند.
💸 بدافزار Phorpiex در چهار سال گذشته حدودا ۳۰۰۰ تراکنش را هک و نزدیک به ۲.۵ میلیون دلار رمزارز را سرقت کرده است.
- (باتنت Twizt در یک سال گذشته ۹۶۹ تراکنش و نیم میلیون دلار)
👾 بدافزار Twizt باتنتی نظیر به نظیر است که به علت عدم استفاده از سرورهای کنترل و فرمان متمرکز و در نظر گرفتن هر سیستم آلوده به عنوان یک سرور، سختتر شناسایی و متوقف میشود.
💡 اکیدا توصیه میشود هنگام انتقال رمزارزها، آدرسها را با دقت، و کاراکتر به کاراکتر بررسی کنید، و برای دانلود و ورود به والتها، وارد لینکهای Google ads نشوید.
🌐 مشخصات بدافزار + کشورهای مورد هدف + لیست رمزارزهای سرقتی
⭕️ وصلهی ناقص مایکروسافت | بدافزار Word بدون استفاده از ماکرو
⚠️ مایکروسافت در سپتامبر امسال، آسیبپذیری
🔺اما به علت ناقص بودن وصله، هکرها موفق شدند با استفاده از همین آسیبپذیری و البته بدون استفاده از ماکروها، حملات دیگری را ترتیب دهند.
🔸 طرح کلی حمله
این بدافزار نمونهای از خانواده بدافزارهای Formbook است که اعمال مخرب زیر را انجام میدهد:
> سرقت اطلاعات
> گرفتن اسکرینشات
> ضبط موارد تایپ شده (Keystroke logging)
> دانلود و اجرای فایل از C&C
🌐 روش دور زدن وصله و استفاده از آسیبپذیری
⚠️ مایکروسافت در سپتامبر امسال، آسیبپذیری
CVE-2021-40444 را که امکان دانلود CAB و بدافزار، و در نهایت اجرای کد از راه دور را به مهاجمان میداد وصله کرد.🔺اما به علت ناقص بودن وصله، هکرها موفق شدند با استفاده از همین آسیبپذیری و البته بدون استفاده از ماکروها، حملات دیگری را ترتیب دهند.
🔸 طرح کلی حمله
ارسال ایمیل جعلی با پیوست فایل RAR > باز کردن فایل ورد > ارتباط با یک صفحهی مخرب حاوی جاوااسکریپت > راهاندازی پاورشل > دانلود بدافزار🤖 اعمال مخرب بدافزار
این بدافزار نمونهای از خانواده بدافزارهای Formbook است که اعمال مخرب زیر را انجام میدهد:
> سرقت اطلاعات
> گرفتن اسکرینشات
> ضبط موارد تایپ شده (Keystroke logging)
> دانلود و اجرای فایل از C&C
🌐 روش دور زدن وصله و استفاده از آسیبپذیری
This media is not supported in your browser
VIEW IN TELEGRAM
🎥 گفتگوی فارسی با ادوارد اسنودن در مورد امنیت سایبری ایران!
🕵🏻♂️ادوارد اسنودن کارمند سابق سازمان اطلاعات آمریکاست که با افشاگری هزاران مدرک فوق سری در خصوص جاسوسی آمریکا از مردم عادی، متهم و مجبور به پناهندگی در روسیه شد.
‼️ اسنودن در مهر و آبان امسال توییتهایی را به زبان فارسی منتشر کرد که بازخورد زیادی در جامعهی توییتر فارسی داشت.
💡 آکادمی راوین با استفاده از همین توییتها، گفتگویی ساختگی و طنز را در مورد امنیت سایبری در ایران، به زبان فارسی با ادوارد اسنودن ترتیب داده، که با استفاده از تکنولوژی دیپفیک ساخته شده است.
💬 برخی موارد گفتگو:
- نظرت در مورد حملات سایبری اخیر ایران چیه؟
+ دیوار موش داره و موش گوش داره
- راهکار مقابله با حملات سایبری چیه؟
+ انکار!
🔹 پینوشت: دیپفیک تکنولوژیای است که بواسطهی آن و با استفاده از یادگیری عمیق و هوش مصنوعی، میتوان عکسها و ویدئوهایی را از افراد تولید کرد، که در آن چیزهایی بگویند یا کارهایی را انجام دهند، که در واقعیت اتفاق نیفتاده است.
🌐 توییتهای فارسی ادوارد اسنودن
🕵🏻♂️ادوارد اسنودن کارمند سابق سازمان اطلاعات آمریکاست که با افشاگری هزاران مدرک فوق سری در خصوص جاسوسی آمریکا از مردم عادی، متهم و مجبور به پناهندگی در روسیه شد.
‼️ اسنودن در مهر و آبان امسال توییتهایی را به زبان فارسی منتشر کرد که بازخورد زیادی در جامعهی توییتر فارسی داشت.
💡 آکادمی راوین با استفاده از همین توییتها، گفتگویی ساختگی و طنز را در مورد امنیت سایبری در ایران، به زبان فارسی با ادوارد اسنودن ترتیب داده، که با استفاده از تکنولوژی دیپفیک ساخته شده است.
💬 برخی موارد گفتگو:
- نظرت در مورد حملات سایبری اخیر ایران چیه؟
+ دیوار موش داره و موش گوش داره
- راهکار مقابله با حملات سایبری چیه؟
+ انکار!
🔹 پینوشت: دیپفیک تکنولوژیای است که بواسطهی آن و با استفاده از یادگیری عمیق و هوش مصنوعی، میتوان عکسها و ویدئوهایی را از افراد تولید کرد، که در آن چیزهایی بگویند یا کارهایی را انجام دهند، که در واقعیت اتفاق نیفتاده است.
🌐 توییتهای فارسی ادوارد اسنودن
⭕️ بدافزار تلگرامی، سارق اطلاعات و رمزارز
⚠️ یک کاربر تلگرام به نام Smokes Night فایل زیپی را در کانالهای تلگرامی مربوط به رمزارز ارسال کرده، که حاوی بدافزار بوده، و در صورت نصب، اعمال مخرب متعددی را انجام میدهد.
🔸 این بدافزار که آن را Echelon نامیدهاند، اطلاعات حساس مربوط به ۱۱ پلتفرم مختلف VPN ،FTP و پیامرسان، و همچنین اطلاعات ۱۲ والت رمزارز را سرقت میکند.
📃 لیست ۱۱ پلتفرم و ۱۲ والت رمزارز
⚙️ بدافزار Echelon توانایی زیادی در تشخیص ابزارهای تحلیل و ضدبدافزار دارد و در صورت شناسایی، عملیات خود را متوقف میکند.
🤖 اعمال مخرب
> سرقت اطلاعات والتهای رمزارز
> اسکرینشات از صفحه نمایش
> ذخیـــــرهی اطلاعات سیستم
> سرقت اطلاعات محرمانـــه
> دسترسی به اثر انگشت
🛡 توصیــــــه
جهت جلوگیری از ریسک حملات مشابه، توصیه میشود از مسیر زیر به قسمت دانلود خودکار تلگرام بروید،
🌐 مشخصات بدافزار Echelon
⚠️ یک کاربر تلگرام به نام Smokes Night فایل زیپی را در کانالهای تلگرامی مربوط به رمزارز ارسال کرده، که حاوی بدافزار بوده، و در صورت نصب، اعمال مخرب متعددی را انجام میدهد.
🔸 این بدافزار که آن را Echelon نامیدهاند، اطلاعات حساس مربوط به ۱۱ پلتفرم مختلف VPN ،FTP و پیامرسان، و همچنین اطلاعات ۱۲ والت رمزارز را سرقت میکند.
📃 لیست ۱۱ پلتفرم و ۱۲ والت رمزارز
⚙️ بدافزار Echelon توانایی زیادی در تشخیص ابزارهای تحلیل و ضدبدافزار دارد و در صورت شناسایی، عملیات خود را متوقف میکند.
🤖 اعمال مخرب
> سرقت اطلاعات والتهای رمزارز
> اسکرینشات از صفحه نمایش
> ذخیـــــرهی اطلاعات سیستم
> سرقت اطلاعات محرمانـــه
> دسترسی به اثر انگشت
🛡 توصیــــــه
جهت جلوگیری از ریسک حملات مشابه، توصیه میشود از مسیر زیر به قسمت دانلود خودکار تلگرام بروید،
Settings > Advanced > Automatic media downloadو دانلود خودکار را در تمام حالات برای تمام انواع محتوا غیرفعال نمایید.
🌐 مشخصات بدافزار Echelon
⭕️ فیلم مرد عنکبوتی یا بدافزار ماینر رمزارز؟!
🔌 بهتازگی در یک نسخه از سری آخر فیلم مرد عنکبوتی (Spider-Man: No Way Home) که در تورنت بارگذاری شده، یک بدافزار ماینر رمزارز مونرو کشف شده است.
🎞 نام فایل این بدافزار spiderman_net_putidomoi.torrent.exe بوده، که مشخص است فرمت آن متعلق به یک فایل اجرایی است نه یک فیلم!
🔓 پس از دانلود، این بدافزار با استفاده از مسیر زیر، مانع از اسکن فولدرهای مورد استفادهاش توسط ویندوز دیفندر میشود:
🌐 مشخصات ماینر + پروژهی ماینر رمزارز SilentXMRMiner
🔌 بهتازگی در یک نسخه از سری آخر فیلم مرد عنکبوتی (Spider-Man: No Way Home) که در تورنت بارگذاری شده، یک بدافزار ماینر رمزارز مونرو کشف شده است.
🎞 نام فایل این بدافزار spiderman_net_putidomoi.torrent.exe بوده، که مشخص است فرمت آن متعلق به یک فایل اجرایی است نه یک فیلم!
🔓 پس از دانلود، این بدافزار با استفاده از مسیر زیر، مانع از اسکن فولدرهای مورد استفادهاش توسط ویندوز دیفندر میشود:
Settings > Update & Security > Windows Security > Virus & threat protection > Manage settings > Add or remove exclusions > Add an exclusion📖 گفتنی است ماینر مذکور، نسخهای از پروژهی SilentXMRMiner است که بطور رایگان در گیتهاب قرار داده شده است.
🌐 مشخصات ماینر + پروژهی ماینر رمزارز SilentXMRMiner
⭕️ کلاهبرداری در پوشش بهروزرسانی برنامه شاد
⚠️ برنامهی شاد با بیش از ۱۸ میلیون کاربر، بزرگترین برنامهی تعاملی کشور است و از این جهت یکی از بهترین مقاصد برای مجرمان سایبری است.
🔺 در این روش، کلاهبردار پیامکی را با عنوان بهروزرسانی برنامهی شاد به کاربر ارسال میکند و هشدار میدهد که در صورت عدم بهروزرسانی، حساب وی مسدود خواهد شد.
🔗 نوع دیگر کلاهبرداری به اسم برنامهی شاد
🔺در صورت کلیک کاربر بر لینک مخرب داخل پیامک، نسخهی جعلی برنامهی شاد بر دستگاه قربانی نصب میشود و اعمال مخرب زیر را انجام میدهد:
> دریافت و ذخیرهی پیامکها
> دسترسی به مخاطبین قربانی
> مخفیسازی آیکون برنامه
💎 این بدافزار توسط ضدبدافزار بیتبان شناسایی میشود.
🌐 مشخصات و تحلیل فنی برنامهی جعلی شاد
⚠️ برنامهی شاد با بیش از ۱۸ میلیون کاربر، بزرگترین برنامهی تعاملی کشور است و از این جهت یکی از بهترین مقاصد برای مجرمان سایبری است.
🔺 در این روش، کلاهبردار پیامکی را با عنوان بهروزرسانی برنامهی شاد به کاربر ارسال میکند و هشدار میدهد که در صورت عدم بهروزرسانی، حساب وی مسدود خواهد شد.
🔗 نوع دیگر کلاهبرداری به اسم برنامهی شاد
🔺در صورت کلیک کاربر بر لینک مخرب داخل پیامک، نسخهی جعلی برنامهی شاد بر دستگاه قربانی نصب میشود و اعمال مخرب زیر را انجام میدهد:
> دریافت و ذخیرهی پیامکها
> دسترسی به مخاطبین قربانی
> مخفیسازی آیکون برنامه
💎 این بدافزار توسط ضدبدافزار بیتبان شناسایی میشود.
🌐 مشخصات و تحلیل فنی برنامهی جعلی شاد
⭕️ نشت ۶ میلیون شناسه و رمز عبور
لو رفتن رمز مادر یک پسورد منیجر
🤖 در آخرین روزهای سال ۲۰۲۱ بدافزاری به نام RedLine کشف و معرفی شد که اطلاعات کاربران را سرقت میکرد.
⚠️ این بدافزار از طریق ایمیلهای فیشینگ، برنامههای کرک شده و تبلیغات گوگل منتشر میشده و در صورت دانلود و نصب بر سیستم کاربر، حجم زیادی از اطلاعات شامل شناسه و رمز عبورهای ذخیره شده بر مرورگرهای Chrome و Edge را سرقت میکرده است.
⛔️ اطلاعات سرقت شده توسط RedLine محدود به رمز عبورهای مرورگرها نبوده و اطلاعات سیستم، والتهای رمزارز و سختافزارهای سیستم قربانی نیز به سرور مهاجم ارسال میشدهاند.
🌐 لیست اطلاعات سرقت شده توسط RedLine
📈 دادههای سرقت شده توسط این بدافزار، شامل ۶ میلیون سطر بوده، که بیش از ۴۴۱ هزار حساب کاربری شامل ایمیل، رمز عبور و نام کاربری یکتا از آن، در سایت haveibeenpwned.com قرار گرفته است.
🔎 با وارد کردن ایمیل خود در وبسایت فوق، میتوانید لو رفتن اطلاعاتتان را بررسی نمایید.
🌐 لو رفتن رمز مادر پسورد منیجر LastPass
لو رفتن رمز مادر یک پسورد منیجر
🤖 در آخرین روزهای سال ۲۰۲۱ بدافزاری به نام RedLine کشف و معرفی شد که اطلاعات کاربران را سرقت میکرد.
⚠️ این بدافزار از طریق ایمیلهای فیشینگ، برنامههای کرک شده و تبلیغات گوگل منتشر میشده و در صورت دانلود و نصب بر سیستم کاربر، حجم زیادی از اطلاعات شامل شناسه و رمز عبورهای ذخیره شده بر مرورگرهای Chrome و Edge را سرقت میکرده است.
⛔️ اطلاعات سرقت شده توسط RedLine محدود به رمز عبورهای مرورگرها نبوده و اطلاعات سیستم، والتهای رمزارز و سختافزارهای سیستم قربانی نیز به سرور مهاجم ارسال میشدهاند.
🌐 لیست اطلاعات سرقت شده توسط RedLine
📈 دادههای سرقت شده توسط این بدافزار، شامل ۶ میلیون سطر بوده، که بیش از ۴۴۱ هزار حساب کاربری شامل ایمیل، رمز عبور و نام کاربری یکتا از آن، در سایت haveibeenpwned.com قرار گرفته است.
🔎 با وارد کردن ایمیل خود در وبسایت فوق، میتوانید لو رفتن اطلاعاتتان را بررسی نمایید.
🌐 لو رفتن رمز مادر پسورد منیجر LastPass
⭕️ عملکرد زیبای یک بدافزار در قالب تلگرام دسکتاپ!
⚠️ اخیرا یک روتکیت بهنام Purple Fox شناسایی شده، که در قالب تلگرام دسکتاپ بر سیستم قربانی نصب میشود و دسترسی کاملی به سیستم وی پیدا میکند.
🦊 این حمله روش جالبی برای آلوده کردن سیستم قربانیان دارد، که برای جلوگیری از شناسایی توسط آنتیویروسها، بخش مخرب خود را در چندین فایل کوچک مجزا قرار میدهد.
🔗 طرح کلی این حمله
🧲 روش انتشار این روتکیت مشخص نیست و احتمالا از طریق ایمیلهای فیشینگ، پستهای یوتیوب، فرومهای اسپم و سایتهای دانلود غیرمعتبر توزیع شده است.
🌐 مشخصات حمله و روتکیت Purple Fox
⚠️ اخیرا یک روتکیت بهنام Purple Fox شناسایی شده، که در قالب تلگرام دسکتاپ بر سیستم قربانی نصب میشود و دسترسی کاملی به سیستم وی پیدا میکند.
🦊 این حمله روش جالبی برای آلوده کردن سیستم قربانیان دارد، که برای جلوگیری از شناسایی توسط آنتیویروسها، بخش مخرب خود را در چندین فایل کوچک مجزا قرار میدهد.
🔗 طرح کلی این حمله
🧲 روش انتشار این روتکیت مشخص نیست و احتمالا از طریق ایمیلهای فیشینگ، پستهای یوتیوب، فرومهای اسپم و سایتهای دانلود غیرمعتبر توزیع شده است.
🌐 مشخصات حمله و روتکیت Purple Fox