⭕️ روش جدید انتشار بدافزار در گوگل پلی

⚠️ در ۴ ماه گذشته، ۴ خانواده‌ی مختلف از تروجان‌های بانکی در گوگل پلی منتشر شده‌اند، که بیش از ۳۰۰ هزار نصب داشته‌اند و سندباکس گوگل پلی قادر به شناسایی آنها نبوده است!

⛔️ با توجه به اینکه اواسط نوامبر امسال، گوگل پلی محدودیت‌هایی جدی برای استفاده از Accessibility Services وضع کرده، هکرها نیازمند روش‌های دیگری برای انتشار بدافزار در گوگل پلی هستند.

🔸 در این روش، مهاجم برنامه‌هایی کاربردی را منتشر می‌کند، که پاک هستند و کارکرد خوب و با کیفیتی دارند.

🔖 لیست برنامه‌های منتشر شده

🔸 اما بعدتر از کاربر خواسته می‌شود که برنامه را بروزرسانی کند و مجوز نصب برنامه‌های دیگر را به برنامه بدهد، که در صورت موافقت، بدافزار بر دستگاه وی نصب می‌شود و اطلاعات مالی و والت‌های رمزارز وی را سرقت می‌کند.

🖥 این بدافزارها جهت جلوگیری از شناسایی توسط تحلیل‌گرها، اطلاعات مختلف دستگاه کاربر را دریافت می‌کنند تا مانع از نصب بدافزار بر محیط‌های مجازی و شبیه‌سازها شوند.

💎 این بدافزارها توسط ضدبدافزار بیت‌بان شناسایی می‌شوند.

🌐 مشخصات بدافزارها + برنامه‌های بانکی، صرافی‌ها و والت‌های مورد هدف

⭕️ تغییر سرشماره‌ی پیامک قوه قضاییه

پیرو کلاهبرداری‌های پیامکی گسترده‌ای که به اسم قوه قضاییه، در چند ماه گذشته صورت گرفته، سرشماره‌ی پیامک این قوه به ADLIRAN تغییر یافت.

از این پس، تمامی پیامک‌های سامانه‌های قوه قضاییه، شامل ثنا، ابلاغ، نظرسنجی و اطلاع‌رسانی با همین سرشماره ارسال خواهند شد.

⚠️ توجـــــــــــــــــــــــــــــــه

۱. هرگونه پیامکی به اسم قوه قضاییه، جز این سرشماره، کلاهبرداری است.
۲. تنها اپلیکیشن معتبر خدمات الکترونیک قضایی، عدالت همراه است.

⚖️ دامنه‌های معتبر قوه قضاییه

درگاه خدمات الکترونیک قضایی
adliran.ir
سامانه ابلاغ الکترونیک
eblagh.adliran.ir
سامانه اطلاع رسانی پرونده
resultcase.adliran.ir
سامانه ثبت‌نام الکترونیک ثنا
sana.adliran.ir
درگاه ملی قوه قضاییه
eadl.ir

🔷 مصطفی محمودیان مدیرعامل جدید بیت‌بان

🔹 دکتر امیر لاجوردی، مدیرعامل شرکت بیت‌بان، با حکم عیسی زارع‌پور، وزیر ارتباطات و فناوری اطلاعات، به عنوان نماینده‌ی ویژه‌ی وزیر در حوزه امنیت فاوا انتخاب شدند.

🔸 در این راستا مصطفی محمودیان، هم‌بنیان‌گذار شرکت بیت‌بان، کارشناس ارشد فناوری اطلاعات و متخصص امنیت فضای مجازی، بزودی به عنوان مدیرعامل جدید شرکت بیت‌بان منصوب خواهند شد.

🔗 لینک خبر

⭕️ فعال‌ساز ویندوز و آفیس یا سارق ارز دیجیتال و مرورگر؟

⚠️ کاربر برای فعال‌سازی رایگان ویندوز و آفیس، نرم‌افزار غیرقانونی KMSPico را دانلود می‌کند.

🔓هنگام نصب از او خواسته می‌شود که آنتی‌ویروس‌هایش را غیرفعال کند، که همین امر ریسک آلودگی سیستم کاربر را افزایش می‌دهد.

🔺بعد از نصب و استفاده، KMSPico ویندوز و آفیس را فعال می‌کند اما؛

🦠 همراه با آن، بدافزار Cryptbot نیز بر سیستم کاربر نصب می‌شود!

💰این بدافزار اطلاعات محرمانه و پسوردهای کاربر را از ۷ مرورگر معتبر مانند گوگل کروم و موزیلا، و ۱۰ والت ارز دیجیتال مانند اتمیک و Ledger Live سرقت و برای مهاجم ارسال می‌کند.

🌐 لیست ۷ مرورگر و ۱۰ والت ارز دیجیتال

⭕️ گوگل، بلاکچین و بات‌نت Glupteba

⚠️ گوگل برای از کار انداختن بات‌‌نت Glupteba که نزدیک به یک میلیون دستگاه ویندوزی را آلوده کرده، ۶۳ میلیون Google Docs، بیش از هزار اکانت گوگل، ۹۰۰ پروژه‌ی ابری، و ۸۷۰ حساب کاربری گوگل ادز را غیرفعال کرد.

🔺 تفاوت Glupteba با دیگر بات‌نت‌ها در استفاده‌ی آن از تکنولوژی بلاکچین برای بالا نگه داشتن سرورهای C&C آن است.

🌐 روش استفاده‌ی Glupteba از بلاکچین

💣 اعمال مخرب
> سرقت اطلاعات محرمانه و کوکی‌ها
> استخراج رمزارز بر هاست‌های آلوده
> هدایت ترافیک اینترنت کاربر به ماشین‌ها و روترهای آلوده

🌪 راه‌های انتشار
> تبلیغات کلیکی
> در قالب نرم‌افزارها و بازی‌های پرطرفدار کرک شده
> استفاده از اکسپلویت EternalBlue

🌐 مشخصات برخی دامنه‌ها و نمونه‌های Glupteba

⭕️ نصب بدافزار بانکی با یک تماس

۱. پیامکی به اسم یک بانک معتبر، حاوی لینک دانلود یک بدافزار، برای افراد ارسال، و از آنها خواسته می‌شود که پس از نصب برنامه، منتظر تماس اپراتور بانک بمانند.

۲. در صورت کلیک کاربر بر لینک، به صفحه‌ای هدایت می‌شود که بدافزار BRATA در قالب یک اپلیکیشن آنتی‌اسپم در آن قرار گرفته است.

🔺۹ عمل مخرب بدافزار BRATA

۳. در این صفحه درگاهی وجود دارد که اطلاعات شخصی قربانی را دریافت و برای مهاجم ارسال می‌کند.

۴. پس از دانلود بدافزار، کلاهبردار با قربانی تماس می‌گیرد و با استفاده از مهندسی اجتماعی سعی می‌کند او را به نصب بدافزار و موافقت با درخواست مجوزهای حساس قانع و ترغیب کند.

۵. در نهایت کلاهبردار با استفاده از accessibility service و دیگر مجوزهای دریافتی، کنترل کاملی به دستگاه قربانی پیدا می‌کند و از این راه، حساب وی را خالی می‌کند.

💎 این بدافزار توسط ضدبدافزار بیت‌بان شناسایی می‌شود.

🌐 مشخصات بدافزار + تحلیل در آزمایشگاه بیت‌بان

⭕️ کلاهبرداری شب یلدا و آمازون ایرانی قلابی

⚠️ اخیرا فروشگاهی با نام آمازون ایرانی و آدرس amazoneirani[.]com، با ترفند دریافت وجه و عدم ارسال اجناس، اقدام به کلاهبرداری از شهروندان نموده که با پیگیری پلیس فتا، عاملان آن شناسایی و تحویل مقامات قضایی شدند.

❗️این فروشگاه دارای نماد اعتماد الکترونیکی اینماد نیز بوده، که به نام شخصی مجهول الهویه و مجهول المکان اخذ شده است!

🎩 کلاهبرداری شب یلدا

با نزدیکی به شب یلدا، کسب و کارها فروش‌های ویژه‌ای را ترتیب می‌دهند که کلاهبرداران نیز آن را مغتنم شمرده و همانند حالت فوق، در این پوشش اقدام به سرقت اموال شهروندان می‌کنند.

🔺 بدافزارهای شب یلدا

در کنار موارد فوق، بدافزارنویسان نیز به انتشار بدافزارهایی در قالب (پیامک، استیکر و مدل سفره) شب یلدا، و انواع فال حافظ می‌پردازند، که دارای اعمال مخرب زیر هستند:

۱. دانلود برنامه‌های دیگر
۲. نمایش تبلیغات آزاردهنده
۳. مخفی کردن آیکون برنامـــــه
۴. عضویت کاربر در کانال‌های تلگرامی
۵. نمایش یا باز کردن صفحه‌ای در تلگرام

💎 این بدافزارها، توسط ضدبدافزار بیت‌بان شناسایی می‌شوند.

🌐 مشخصات ۱۰ بدافزار شب یلدا

⭕️ هشدار به برنامه‌نویسان جاوا: آسیب‌پذیری Log4j و باج‌افزار خونساری

⚠️ ۹ دسامبر، آسیب‌پذیری‌ای مربوط به اجرای کد از راه دور در نسخه‌های ‎2.0-beta9 تا 2.14.1 در کتابخانه‌ی Log4j یافت شد، که با CVSS = ۱۰ بیشترین سطح آسیب‌پذیری را ایجاد می‌کند.

🧯 نسخه‌ی بروزرسانی شده

🔺 این کتابخانه‌ی پردازش لاگ جاوا، استفاده‌ی بسیار زیادی در فریمورک‌هایی مثل Elasticsearch ،Kafka ،Flink ،Spring و وب‌سایت‌ها و سرویس‌های معروف دارد و از این رو، کاربران بسیاری در معرض خطرات این آسیب‌پذیری هستند. (+)

🔸 تهدیدات

> نصب Cobalt Strike جهت سرقت اطلاعات
> تشکیل بات‌نت از دستگاه‌های آلوده
> استخراج رمزارز

⚙️ جزئیات فنی آسیب‌پذیری CVE-2021-44228

🔸 باج‌افزار خونساری

بعلاوه، مهاجمان از این آسیب‌پذیری جهت راه‌اندازی حملات باج‌افزاری نیز استفاده می‌کنند:

🔺فایل‌های قربانی رمز می‌شود، پیامی حاوی آدرس ایمیل و شماره تلفن به وی نمایش داده می‌شود تا قربانی با مهاجمان تماس بگیرد و جهت رمزگشایی سیستمش، مقادیر درخواستی را به بیت‌کوین برای آنها واریز نماید. (متن کامل پیام)

🌐 نقشه پراکندگی استفاده از این آسیب‌پذیری (ایران با ۹۷۶ مورد!)

⭕️ جوکر در گوگل پلی، این‌بار با ۵۰۰ هزار نصب!

⚠️ چهار سال است که بدافزار #جوکر، که به گفته‌ی گوگل یکی از ماناترین تهدیدات سایبری است، در قالب صدها اپلیکیشن اندرویدی منتشر شده و دستگاه‌های بسیاری را آلوده کرده است.

🔺جوکر این‌بار در قالب برنامه‌ای به نام Color Message به عنوان شخصی‌ساز پیام‌رسان‌ها، در گوگل پلی منتشر شده و با آلودگی نزدیک به نیم میلیون دستگاه، اعمال مخرب زیر را ترتیب داده است:

> شبیه‌سازی کلیک کاربر برای درآمدزایی از تبلیغات کلیکی
> به عضویت درآوردن کاربر در سرویس‌های پیامکی هزینه‌ای
> دسترسی به مخاطبین کاربر و ارسال آنها به سرورهایی در روسیه!
> مخفی کردن آیکون

💎 این بدافزار توسط ضدبدافزار بیت‌بان شناسایی می‌شود.

🌐 مشخصات Color Message + برخی دیگر از بدافزارهای جوکر

⭕️ هک آدرس تراکنش‌های رمزارزها

⚠️ بدافزار Phorpiex بات‌نتی است که نسخه‌ی جدید آن با نام Twizt پس از نصب بر سیستم قربانی، به والت‌های رمزارز وی دسترسی می‌یابد و در صورت انجام تراکنش، آدرس والت مهاجم را جایگزین آدرس گیرنده‌ی موردنظر می‌کند.

💸 بدافزار Phorpiex در چهار سال گذشته حدودا ۳۰۰۰ تراکنش را هک و نزدیک به ۲.۵ میلیون دلار رمزارز را سرقت کرده است.
- (بات‌نت Twizt در یک سال گذشته ۹۶۹ تراکنش و نیم میلیون دلار)

👾 بدافزار Twizt بات‌نتی نظیر به نظیر است که به علت عدم استفاده از سرورهای کنترل و فرمان متمرکز و در نظر گرفتن هر سیستم آلوده به عنوان یک سرور، سخت‌تر شناسایی و متوقف می‌شود.

💡 اکیدا توصیه می‌شود هنگام انتقال رمزارزها، آدرس‌ها را با دقت، و کاراکتر به کاراکتر بررسی کنید، و برای دانلود و ورود به والت‌ها، وارد لینک‌های Google ads نشوید.

🌐 مشخصات بدافزار + کشورهای مورد هدف + لیست رمزارزهای سرقتی

⭕️ وصله‌ی ناقص مایکروسافت | بدافزار Word بدون استفاده از ماکرو

⚠️ مایکروسافت در سپتامبر امسال، آسیب‌پذیری CVE-2021-40444 را که امکان دانلود CAB و بدافزار، و در نهایت اجرای کد از راه دور را به مهاجمان می‌داد وصله کرد.

🔺اما به علت ناقص بودن وصله، هکرها موفق شدند با استفاده از همین آسیب‌پذیری و البته بدون استفاده از ماکروها، حملات دیگری را ترتیب دهند.

🔸 طرح کلی حمله

ارسال ایمیل جعلی با پیوست فایل RAR > باز کردن فایل ورد > ارتباط با یک صفحه‌ی مخرب حاوی جاوااسکریپت > راه‌اندازی پاورشل > دانلود بدافزار

🤖 اعمال مخرب بدافزار

این بدافزار نمونه‌ای از خانواده بدافزارهای Formbook است که اعمال مخرب زیر را انجام می‌دهد:

> سرقت اطلاعات
> گرفتن اسکرین‌شات
> ضبط موارد تایپ شده (Keystroke logging)
> دانلود و اجرای فایل از C&C

🌐 روش دور زدن وصله و استفاده از آسیب‌پذیری

🎥 گفتگوی فارسی با ادوارد اسنودن در مورد امنیت سایبری ایران!

🕵🏻‍♂️ادوارد اسنودن کارمند سابق سازمان اطلاعات آمریکاست که با افشاگری هزاران مدرک فوق سری در خصوص جاسوسی آمریکا از مردم عادی، متهم و مجبور به پناهندگی در روسیه شد.

‼️ اسنودن در مهر و آبان امسال توییت‌هایی را به زبان فارسی منتشر کرد که بازخورد زیادی در جامعه‌ی توییتر فارسی داشت.

💡 آکادمی راوین با استفاده از همین توییت‌‎ها، گفتگویی ساختگی و طنز را در مورد امنیت سایبری در ایران، به زبان فارسی با ادوارد اسنودن ترتیب داده، که با استفاده از تکنولوژی دیپ‌فیک ساخته شده است.

💬 برخی موارد گفتگو:

- نظرت در مورد حملات سایبری اخیر ایران چیه؟
+ دیوار موش داره و موش گوش داره

- راهکار مقابله با حملات سایبری چیه؟
+ انکار!

🔹 پی‌نوشت: دیپ‌فیک تکنولوژی‌ای است که بواسطه‌ی آن و با استفاده از یادگیری عمیق و هوش مصنوعی، می‌توان عکس‌ها و ویدئوهایی را از افراد تولید کرد، که در آن چیزهایی بگویند یا کارهایی را انجام دهند، که در واقعیت اتفاق نیفتاده است.

🌐 توییت‌های فارسی ادوارد اسنودن

⭕️ بدافزار تلگرامی، سارق اطلاعات و رمزارز

⚠️ یک کاربر تلگرام به نام Smokes Night فایل زیپی را در کانال‌های تلگرامی مربوط به رمزارز ارسال کرده، که حاوی بدافزار بوده، و در صورت نصب، اعمال مخرب متعددی را انجام می‌دهد.

🔸 این بدافزار که آن را Echelon نامیده‌اند، اطلاعات حساس مربوط به ۱۱ پلتفرم مختلف VPN ،FTP و پیام‌رسان، و همچنین اطلاعات ۱۲ والت رمزارز را سرقت می‌کند.

📃 لیست ۱۱ پلتفرم و ۱۲ والت رمزارز

⚙️ بدافزار Echelon توانایی زیادی در تشخیص ابزارهای تحلیل و ضدبدافزار دارد و در صورت شناسایی، عملیات خود را متوقف می‌کند.

🤖 اعمال مخرب

> سرقت اطلاعات والت‌های رمزارز
> اسکرین‌شات از صفحه نمایش
> ذخیـــــره‌ی اطلاعات سیستم
> سرقت اطلاعات محرمانـــه
> دسترسی به اثر انگشت

🛡 توصیــــــه

جهت جلوگیری از ریسک حملات مشابه، توصیه می‌شود از مسیر زیر به قسمت دانلود خودکار تلگرام بروید،

Settings > Advanced > Automatic media download

و دانلود خودکار را در تمام حالات برای تمام انواع محتوا غیرفعال نمایید.

🌐 مشخصات بدافزار Echelon

⭕️ فیلم مرد عنکبوتی یا بدافزار ماینر رمزارز؟!

🔌 به‌تازگی در یک نسخه از سری آخر فیلم مرد عنکبوتی (Spider-Man: No Way Home) که در تورنت بارگذاری شده، یک بدافزار ماینر رمزارز مونرو کشف شده است.

🎞 نام فایل این بدافزار spiderman_net_putidomoi.torrent.exe بوده، که مشخص است فرمت آن متعلق به یک فایل اجرایی است نه یک فیلم!

🔓 پس از دانلود، این بدافزار با استفاده از مسیر زیر، مانع از اسکن فولدرهای مورد استفاده‌اش توسط ویندوز دیفندر می‌شود:

Settings > Update & Security > Windows Security > Virus & threat protection > Manage settings > Add or remove exclusions > Add an exclusion

📖 گفتنی است ماینر مذکور، نسخه‌ای از پروژه‌ی SilentXMRMiner است که بطور رایگان در گیت‌هاب قرار داده شده است.

🌐 مشخصات ماینر + پروژه‌ی ماینر رمزارز SilentXMRMiner

⭕️ کلاهبرداری در پوشش به‌روزرسانی برنامه شاد

⚠️ برنامه‌ی شاد با بیش از ۱۸ میلیون کاربر، بزرگترین برنامه‌ی تعاملی کشور است و از این جهت یکی از بهترین مقاصد برای مجرمان سایبری است.

🔺 در این روش، کلاهبردار پیامکی را با عنوان به‌روزرسانی برنامه‌ی شاد به کاربر ارسال می‌کند و هشدار می‌دهد که در صورت عدم به‌روزرسانی، حساب وی مسدود خواهد شد.

🔗 نوع دیگر کلاهبرداری به اسم برنامه‌ی شاد

🔺در صورت کلیک کاربر بر لینک مخرب داخل پیامک، نسخه‌ی جعلی برنامه‌ی شاد بر دستگاه قربانی نصب می‌شود و اعمال مخرب زیر را انجام می‌دهد:

> دریافت و ذخیره‌ی پیامک‌ها
> دسترسی به مخاطبین قربانی
> مخفی‌سازی آیکون برنامه

💎 این بدافزار توسط ضدبدافزار بیت‌بان شناسایی می‌شود.

🌐 مشخصات و تحلیل فنی برنامه‌ی جعلی شاد

⭕️ نشت ۶ میلیون شناسه و رمز عبور
لو رفتن رمز مادر یک پسورد منیجر

🤖 در آخرین روزهای سال ۲۰۲۱ بدافزاری به نام RedLine کشف و معرفی شد که اطلاعات کاربران را سرقت می‌کرد.

⚠️ این بدافزار از طریق ایمیل‌های فیشینگ، برنامه‌های کرک شده و تبلیغات گوگل منتشر می‌شده و در صورت دانلود و نصب بر سیستم کاربر، حجم زیادی از اطلاعات شامل شناسه و رمز عبورهای ذخیره شده بر مرورگرهای Chrome و Edge را سرقت می‌کرده است.

⛔️ اطلاعات سرقت شده توسط RedLine محدود به رمز عبورهای مرورگرها نبوده و اطلاعات سیستم، والت‌های رمزارز و سخت‌افزارهای سیستم قربانی نیز به سرور مهاجم ارسال می‌شده‌اند.

🌐 لیست اطلاعات سرقت شده توسط RedLine

📈 داده‌های سرقت شده توسط این بدافزار، شامل ۶ میلیون سطر بوده، که بیش از ۴۴۱ هزار حساب کاربری شامل ایمیل، رمز عبور و نام کاربری یکتا از آن، در سایت haveibeenpwned.com قرار گرفته است.

🔎 با وارد کردن ایمیل خود در وب‌سایت فوق، می‌توانید لو رفتن اطلاعات‌تان را بررسی نمایید.

🌐 لو رفتن رمز مادر پسورد منیجر LastPass

⭕️ عملکرد زیبای یک بدافزار در قالب تلگرام دسکتاپ!

⚠️ اخیرا یک روت‌کیت به‌نام Purple Fox شناسایی شده، که در قالب تلگرام دسکتاپ بر سیستم قربانی نصب می‌شود و دسترسی کاملی به سیستم وی پیدا می‌کند.

🦊 این حمله روش جالبی برای آلوده کردن سیستم قربانیان دارد، که برای جلوگیری از شناسایی توسط آنتی‌ویروس‌ها، بخش مخرب خود را در چندین فایل کوچک مجزا قرار می‌دهد.

🔗 طرح کلی این حمله

🧲 روش انتشار این روت‌کیت مشخص نیست و احتمالا از طریق ایمیل‌های فیشینگ، پست‌های یوتیوب، فروم‌های اسپم و سایت‌های دانلود غیرمعتبر توزیع شده است.

🌐 مشخصات حمله و روت‌کیت Purple Fox

⛔️ هشدار به کاربران آیفون

⚠️ محققان باگی را در iOS یافته‌اند که با استفاده از تکنیک NoReboot و آلوده کردن دستگاه کاربر با یک بدافزار، می‌توانند دسترسی کاملی به آن پیدا کنند.

🔮 در تکنیک NoReboot مهاجم می‌تواند خاموش و روشن شدن دستگاه را بصورت جعلی شبیه‌سازی کند، به بیانی دیگر زمانیکه که کاربر قصد دارد دستگاه خود را ریبوت کند، دستگاه بظاهر خاموش و بعد با بالا آمدن لوگوی آیفون روشن می‌شود، اما در تمام این مدت دستگاه روشن است و با دسترسی‌ای که به میکروفون و دوربین گوشی دارد، صداها و تصاویر را ضبط می‌کند.

🔗 طرح کلی تکنیک NoReboot

🔶 با استفاده از این تکنیک، مهاجم می‌تواند تمام نشانه‌های روشن بودن دستگاه از جمله زنگ خوردن، دریافت نوتیفیکیشن، لرزش دستگاه و صفحه نمایش را غیرفعال کند.

🔺 گفتنی است که این باگ در تمامی نسخه‌های آیفون وجود دارد و برطرف کردن آن تنها در سطح سخت‌افزاری ممکن است.

🌐 آیا این باگ در Force Restart هم وجود دارد؟

⭕️ این ویدئو از دستگاه شما ارسال شده!

⚠️ بدافزار Flubot یک تروجان بانکی است که بصورت پیامکی و با عناوینی چون به‌روزرسانی‌‌های امنیتی و نوتیفیکیشن‌های صوتی برای کاربران ارسال شده و آنها را به کلیک بر لینک مخرب داخل پیامک، که بدافزار از طریق آن بر دستگاه نصب می‌شود، ترغیب می‌نماید.

🤖 این بدافزار در کمپین اخیر خود، با این بهانه که «این ویدئو از دستگاه شما ارسال شده، آیا طبیعی است؟» کاربران را فریب داده، که در صورت کلیک کاربر بر لینک مخرب، به صفحه‌ای هدایت و از وی خواسته می‌شود برنامه‌ی جعلی APK Flash Player را دانلود نماید. در صورت موافقت کاربر، بدافزار Flubot بر دستگاه وی نصب می‌شود.

🧲 برخی از اعمال مخرب Flubot

> کنترل و دسترسی به پیامک‌ها و تماس‌ها
> غیرفعال کردن Play Protect
> جعل صفحات لاگین برنامه‌ها
> گرفتن اسکرین‌شات

🔗 لیست کامل اعمال مخرب Flubot

👾 گفتنی است که در صورت آلودگی دستگاه به Flubot، پیامکی جعلی از شماره‌ی کاربر به تمام مخاطبینش ارسال می‌شود، تا دستگاه آنها را نیز آلوده نماید.

💎 تروجان Flubot توسط ضدبدافزار بیت‌بان شناسایی می‌شود.

🌐 تحلیل فنی + لینک تحلیل در آزمایشگاه بیت‌بان

⭕️ هشدار به کاربران صرافی نوبیتکس، آبان‌تتر و رمزینکس

⚠️ به‌تازگی ۳ بدافزار به‌نام سه صرافی نوبیتکس، آبان‌تتر و رمزینکس منتشر شده‌اند، که در صورت نصب بر دستگاه کاربر، اطلاعات ورود به حساب صرافی آنها را دریافت و در نهایت می‌توانند رمزارزهای آنها را سرقت نمایند.

💸 عملکرد بدافزار

۱. بعد از نصب شدن بدافزار، یک پیام «در حال انتظار» به کاربر نمایش داده شده و اطلاعات دستگاه به سرور مهاجم ارسال می‌گردد.
۲. سپس درگاه جعلی ورود به صرافی در برنامه بالا می‌آید که ایمیل و گذرواژه‌ی کاربر را از وی دریافت می‌کند.
۳. در نهایت کد ۶ رقمی Google Authenticator را هم از کاربر دریافت می‌کند تا مراحل ورود به حساب صرافی کاربر، تکمیل گردد.

🔺گفتنی است که این بدافزارها با گرفتن مجوز دریافت و خواندن پیامک‌ها، کدهای تایید ارسالی از صرافی را هم سرقت می‌کنند.


💎 این سه بدافزار توسط اپلیکیشن ضدبدافزار بیت‌بان شناسایی می‌شوند.


🌐 مشخصات و تحلیل فنی بدافزارها

⭕️ حمله فیشینگ و انتشار بدافزار از طریق Google Docs

⚠️ اخیرا مهاجمان با استفاده از اکسپلویتی که در قسمت نظرات Google Docs وجود دارد، حملات فیشینگ بسیاری را ترتیب داده‌اند و بدافزارهای زیادی را از طریق لینک‌های مخرب، برای کاربران ارسال کرده‌اند.

🤖 روش حمله

- مهاجم ذیل یک داکیومنت گوگل، داخل یک کامنت، کاربر هدف را منشن می‌کند و یک لینک مخرب نیز در آن قرار می‌دهد.

- با این کار ایمیلی از طرف گوگل و با اسم مهاجم، برای کاربر ارسال می‌شود که حاوی متن کامل پیام وی و لینک مخرب مذکور است.

- حال در صورت کلیک کاربر، مهاجم بسته به هدف خود می‌تواند کاربر را به صفحات و درگاه‌های جعلی هدایت، یا سیستم و دستگاه وی را به انواع بدافزارها آلوده نماید.

🧲 علت موفقیت این حمله

۱. ایمیل‌ها از طرف گوگل ارسال می‌شوند و در نتیجه، بسیاری از اسکنرها آنها را به عنوان اسپم شناسایی نمی‌کنند.
۲. در عنوان ایمیل تنها نام مهاجم قرار گرفته، که می‌تواند به‌راحتی باعث فریب یا اعتماد نابه‌جای کاربر گردد.

🌐 نمونه‌ای از این حمله