⭕️ هشدار به کاربران صرافی نوبیتکس، آبان‌تتر و رمزینکس

⚠️ به‌تازگی ۳ بدافزار به‌نام سه صرافی نوبیتکس، آبان‌تتر و رمزینکس منتشر شده‌اند، که در صورت نصب بر دستگاه کاربر، اطلاعات ورود به حساب صرافی آنها را دریافت و در نهایت می‌توانند رمزارزهای آنها را سرقت نمایند.

💸 عملکرد بدافزار

۱. بعد از نصب شدن بدافزار، یک پیام «در حال انتظار» به کاربر نمایش داده شده و اطلاعات دستگاه به سرور مهاجم ارسال می‌گردد.
۲. سپس درگاه جعلی ورود به صرافی در برنامه بالا می‌آید که ایمیل و گذرواژه‌ی کاربر را از وی دریافت می‌کند.
۳. در نهایت کد ۶ رقمی Google Authenticator را هم از کاربر دریافت می‌کند تا مراحل ورود به حساب صرافی کاربر، تکمیل گردد.

🔺گفتنی است که این بدافزارها با گرفتن مجوز دریافت و خواندن پیامک‌ها، کدهای تایید ارسالی از صرافی را هم سرقت می‌کنند.


💎 این سه بدافزار توسط اپلیکیشن ضدبدافزار بیت‌بان شناسایی می‌شوند.


🌐 مشخصات و تحلیل فنی بدافزارها

⭕️ حمله فیشینگ و انتشار بدافزار از طریق Google Docs

⚠️ اخیرا مهاجمان با استفاده از اکسپلویتی که در قسمت نظرات Google Docs وجود دارد، حملات فیشینگ بسیاری را ترتیب داده‌اند و بدافزارهای زیادی را از طریق لینک‌های مخرب، برای کاربران ارسال کرده‌اند.

🤖 روش حمله

- مهاجم ذیل یک داکیومنت گوگل، داخل یک کامنت، کاربر هدف را منشن می‌کند و یک لینک مخرب نیز در آن قرار می‌دهد.

- با این کار ایمیلی از طرف گوگل و با اسم مهاجم، برای کاربر ارسال می‌شود که حاوی متن کامل پیام وی و لینک مخرب مذکور است.

- حال در صورت کلیک کاربر، مهاجم بسته به هدف خود می‌تواند کاربر را به صفحات و درگاه‌های جعلی هدایت، یا سیستم و دستگاه وی را به انواع بدافزارها آلوده نماید.

🧲 علت موفقیت این حمله

۱. ایمیل‌ها از طرف گوگل ارسال می‌شوند و در نتیجه، بسیاری از اسکنرها آنها را به عنوان اسپم شناسایی نمی‌کنند.
۲. در عنوان ایمیل تنها نام مهاجم قرار گرفته، که می‌تواند به‌راحتی باعث فریب یا اعتماد نابه‌جای کاربر گردد.

🌐 نمونه‌ای از این حمله

⭕️ ضعف امنیتی ویندوز دیفندر

⚠️ این ضعف که تقریبا ۸ سال است در ویندوز دیفندر وجود دارد، به مهاجم اجازه می‌دهد فایل‌هایی که کاربر آنها را در Exclusions ویندوز دیفندر قرار داده تا اسکن نشوند، بیابد و بدافزارهای موردنظر خود را در آنها قرار دهد.

🧲 با این کار ویندوز دیفندر آنها را اسکن نکرده و در نتیجه شناسایی نمی‌کند و بدافزار می‌تواند به‌راحتی به اعمال مخرب خود بپردازد.

👾 چنانچه مهاجم پیش‌تر به سیستم حمله کرده باشد، می‌تواند با استفاده از فرمان زیر، لیست Exclusions ویندوز دیفندر قربانی را مشاهده و بدافزار مدنظرش را در آنها قرار دهد:

reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions" /s

💡 این ضعف در ویندوز ۱۰ نسخه‌های 21H1 و 21H2 وجود دارد، اما در ویندوز ۱۱ برطرف شده است.

🛡 توصیه می‌شود یا ویندوز خود را به ویندوز ۱۱ ارتقا دهید یا اگر در Exclusion فایلی دارید، محتوای آن را مرتب بررسی نمایید.

🌐 وصله‌ی ۱۲۰ آسیب‌پذیری ویندوز ۱۰ و ۱۱

⭕️ هشدار به کاربران صرافی رمزارز والکس

⚠️ اخیرا بدافزاری در پوشش اپلیکیشن اندروید والکس در حال انتشار است، که در صورت نصب بر دستگاه کاربر، می‌تواند اطلاعات ورود به حساب صرافی وی را سرقت نماید.

💸 این بدافزار عملکردی کاملا شبیه به بدافزارهای مربوط به صرافی‌های رمزارز نوبیتکس، رمزینکس و آبان‌تتر دارد که اینجا به آنها اشاره شد.

⚙️ لازم به ذکر است پس از انتشار گزارش قبلی، لینک مربوط به سرور غیرفعال شده و پاسخی در جهت هدایت کاربر به درگاه ورود به برنامه ارسال نمی‌شود، که در نتیجه، برنامه همان ابتدای اجرا، متوقف می‌گردد.

🤖 با این وجود، این بدافزار با گرفتن مجوزهای دریافت و خواندن پیامک‌ها، می‌تواند علاوه بر دسترسی به کدهای تایید، سوءاستفاده‌های دیگری نیز داشته باشد.

💎 اپلیکیشن ضدبدافزار بیت‌بان این بدافزار را شناسایی می‌کند.

🌐 مشخصات مربوط به بدافزار صرافی والکس + تحلیل فنی

⭕️ فیشینگ با پیامک جعلی هشدار قطع برق

⚠️ به‌تازگی مجرمان سایبری، پیامک‌هایی را به اسم اداره برق و با هشدار قطع برق در صورت عدم پرداخت قبض برای شهروندان ارسال کرده‌اند، که حاوی لینک‌هایی جعلی بوده است.

🎩 در صورت کلیک بر این لینک‌ها، کاربر به یک درگاه جعلی هدایت می‌شود که اطلاعات زیر را از وی دریافت، و با نمایش یک مهلت پیگیری، کاربر را به ادامه‌ی فرآیند و نصب اپلیکیشن جعلی پرداخت قبض هدایت می‌کند.

- نام و نام خانوادگی
- کد ملی
- شماره تلفن

🤖 اپلیکیشن مذکور، بدافزاری با دسترسی به پیامک‌های قربانی است که در برخی نمونه‌های آن، کد مخفی کردن آیکون خود و سرقت لیست مخاطبین قربانی نیز وجود دارد.

💸 در نهایت کاربر به یک درگاه پرداخت جعلی هدایت، اطلاعات کارت بانکی وی سرقت و حسابش خالی می‌شود.

💎 این بدافزار توسط ضدبدافزار بیت‌بان شناسایی می‌شود.

🌐 مشخصات ۵ نمونه از این بدافزارها + تحلیل در آزمایشگاه بیت‌بان

⭕️ هشدار به گیمرها:
نقص امنیتی در بازی Dark Souls 3

⚠️ اخیرا یک آسیب‌پذیری بسیار خطرناک در بازی Dark Souls 3 پیدا شده، که با استفاده از آن، مهاجم می‌تواند کد دلخواهش را از راه دور بر سیستم قربانی اجرا کرده و به این واسطه، اعمال مخربی از جمله موارد زیر را صورت دهد:

- از کار انداختن سیستم
- نصب ماینر رمزارز بر سیستم
- سرقت اطلاعات لاگینِ ذخیره شده بر سیستم

⚙️ شرکت Dark Souls وجود این آسیب‌پذیری را تایید کرده، و برای جلوگیری از سوءاستفاده‌های احتمالی هکرها، سرورهای PvP خود را غیرفعال نموده تا تیم امنیتی‌اش نقص پیش آمده را بررسی و برطرف نماید.

🖥 گفتنی است که سرورهای PvP نسخه‌های پلی‌استیشن و ایکس‌باکس این بازی فعال است و مشکل مربوط به کاربران PC بوده است.

🌐 توییت Dark Souls در مورد این آسیب‌پذیری

⭕️ ریست فکتوری بعد از خالی کردن حساب بانکی

⚠️ اخیرا بدافزاری به‌‌نام BRATA از طریق پیامک‌های جعلی، برای کاربرانی از نقاط مختلف جهان ارسال شده، که یک تروجان بانکی است، و به روش‌های مختلف سعی در سرقت اطلاعات برنامه‌های بانکی کاربران دارد. (+)

🔗 ویژگی‌ها و تفاوت‌های ۳ مدل مختلف BRATA

👀 این بدافزار با استفاده از مجوزهای Accessibility Service فعالیت‌های کاربر را رصد و با استفاده از ماژول VNC اطلاعات شخصی قربانی بر صفحه نمایش دستگاهش را مشاهده و از آنها برای خالی کردن حساب وی استفاده می‌کند.

⚙️ تروجان BRATA برای جلوگیری از ردیابی، شناسایی توسط آنتی‌ویروس‌ها و تحلیل پویا در محیط‌های مجازی، دستگاه یا محیط را ریست فکتوری می‌کند. (+)

💎 این بدافزار توسط ضدبدافزار بیت‌بان شناسایی می‌شود.

🌐 توضیحات و مشخصات BRATA

⭕️ ۴۷۰ بدافزار در گوگل پلی
آلودگی ۱۰۵ میلیون دستگاه اندرویدی

⚠️ در مارس ۲۰۲۰، ۴۷۰ بدافزار در گوگل پلی منتشر شد، که تمامی آنها برنامه‌هایی واقعی با عملکرد درست بودند و مجوزهای خطرناکی هم از کاربر دریافت نمی‌کردند، اما در صورت استفاده، بدون آگاهی قربانی، ماهانه مبلغی معادل ۱۵ دلار به قبض موبایل آنها اضافه یا از شارژشان کم می‌شد.

📱این کمپین که Dark Herring نامیده شده، بعد از آنکه کاربر یکی از این بدافزارها را نصب کرد، به بهانه‌ی تایید هویت، صفحه‌ی وب مخربی را به وی نمایش می‌دهد و از او درخواست می‌کند که شماره تماس‌اش را در آن وارد نماید.

💸 اما همانطور که انتظار می‌رود با این کار کاربر عضو سرویس‌های هزینه‌ای شده و مبلغ مذکور، ماهانه از اعتبار خط موبایل‌اش کاسته یا به قبض‌اش اضافه می‌شود.

🤖 گفتنی است صفحات وبی که به کاربر نمایش داده می‌شوند به زبان وی و بر اساس IP اوست.

🌍 طبق نقشه‌ی آلودگی منتشر شده‌ی این کمپین، کاربران ایرانی نیز جزو قربانیان این کلاهبرداری بوده‌اند.

🌐 نام و مشخصات این بدافزارها

💎 کیوسک امن بیت‌بان | راهکار امنیتی برای سازمان‌ها

🏢 کیوسک امن بیت‌بان یک راهکار امنیتی جهت تضمین امنیت فایل‌های انتقالی به داخل سازمان‌هاست.

💿 این فایل‌ها می‌توانند از طریق رسانه‌های مختلفی چون CD ،DVD ،USB Drive، و یا SD Card وارد شبکه‌ی سازمانی شوند و در صورت مخرب بودن، سیستم‌ها و شبکه‌های آن را آلوده نمایند. (توضیحات کامل‌تر در ویدئوی بالا)

🔎 کیوسک امن، تمامی فایل‌های انتقالی را توسط هسته‌ی پلتفرم بیت‌بان بررسی و با دقتی بالا تحلیل می‌کند.

🔹 از جمله ویژگی‌های کیوسک امن بیت‌بان می‌توان به پیشگیری از حملات، سرعت، دقت، احراز هویت کاربران و گزارش‌گیری از رفتار آنها اشاره کرد.

🔷 کیوسک امن بیت‌بان دارای ۳ مدل مختلف است که با استفاده از قابلیت ضدبدافزار مرکب، امکان پشتیبانی تا ۶۰ ضدبدافزار پیشرفته را داراست.
هر کدام از این مدل‌ها، ویژگی‌ها و کاربردهای خاص خود را دارند که در مطالب زیر به آنها اشاره شده است:

کیوسک امن ایستاده بیت‌بان
کیوسک امن رومیزی بیت‌بان
کیوسک امن تبلتی بیت‌بان

🌐 برای مطالعه‌ی امکانات و موقعیت کیوسک در ساختار شبکه می‌توانید به صفحه‌ی اصلی کیوسک امن بیت‌بان مراجعه نمایید.

⭕️ ۳۰۰۰ بدافزار پیامکی سامانه ثنا، ابلاغیه و عدالت همراه!

⚠️ پیش‌تر بارها در بیت‌بان در خصوص پیامک‌های جعلی‌ای که به اسم قوه قضاییه و سامانه ثنا برای شهروندان ارسال می‌شوند اطلاع‌رسانی شده و گزارش‌های فنی آن نیز در وبلاگ بیت‌بان منتشر شده است.

📈 طبق بررسی‌های اخیر، تعداد بدافزارهای مربوط به این کلاهبرداری، به بیش از ۳۰۰۰ مورد رسیده و حساب بانکی چندین هزار نفر خالی شده است!

🔗 نام ۸ بسته‌ی این بدافزارها

💎 لازم به ذکر است که اپلیکیشن ضدبدافزار بیت‌بان این بدافزارها را شناسایی می‌کند.

🌐 روش تشخیص پیامک‌های اصلی و جعلی ثنا و ابلاغیه الکترونیک

* لطفا اطلاع‌رسانی بفرمایید.*

⭕️ فیشینگ توسط فایل CSV

⚠️ به‌تازگی یک حمله‌ی فیشینگ شناسایی شده که با ارسال ایمیل‌های جعلی حاوی یک لینک مخرب، کاربر را برای دانلود یک فایل CSV به وب‌سایت‌هایی هدایت و در نهایت سیستمش را آلوده و اطلاعاتش را سرقت می‌کند.

⚙️ داخل یکی از خانه‌های این فایل CSV یک WMIC قرار گرفته، که در نهایت با راه‌اندازی چندین فرمان پاورشل، و دانلود و اجرای DLL، بدافزار BazarBackdoor بر سیستم قربانی نصب می‌شود.

🔗 توضیحات بیشتر + گراف حمله

🔓 مهاجم پس از نصب این بدافزار می‌تواند به شبکه‌ی قربانی دسترسی یابد و با زنجیره‌ی بعدی، داده‌های حساس و محرمانه را سرقت و حتی باج‌افزاری را بر سیستم قربانی نصب کند.

🏢 این بدافزار تنها در دو روز گذشته بیش از ۱۰۰ شرکت و سازمان را مورد نفوذ قرار داده است.

🔬 این بدافزار توسط آزمایشگاه بیت‌بان شناسایی می‌شود.

🌐 مشخصات بدافزار + اسکرین‌شات فایل CSV

⭕️ هشدار به صاحبان سایت‌های وردپرس

⚠️ اخیرا یک آسیب‌پذیری مهم در افزونه‌ی Essential Addons for Elementor وردپرس با بیش از یک میلیون نصب شناسایی شده، که بواسطه‌ی آن، مهاجم می‌تواند کد مخرب دلخواهش را بر وب‌سایت آسیب‌پذیر اجرا کند.

🎨 این افزونه جهت صفحه‌سازی وب‌سایت‌های وردپرس با طراحی‌های متنوع به‌کار می‌رود و آسیب‌پذیری موجود در آن، به مهاجم این امکان را می‌دهد، تا فایل‌های محلی را در فایل‌سیستم وب‌سایت آسیب‌پذیر قرار دهد.

🤖 این آسیب‌‌پذیری در تمام نسخه‌های Elmentor از ۵.۰.۴ به قبل وجود دارد و توصیه می‌شود کاربران در صورت استفاده از این افزونه، آن را به‌روزرسانی و نسخه‌ی ۵.۰.۶ یا ۵.۰.۵ را نصب نمایند.

🌐 تکه کد و شرایط استفاده از این آسیب‌پذیری

⭕️ سرقت اطلاعات مرورگرها و والت‌های رمزارز توسط بدافزار ۱۴۰ دلاری

⚠️ اخیرا بدافزاری به‌نام Mars Stealer شناسایی شده، که به سرقت داده‌های مهم از ۳۴ مرورگر، ۵ پلاگین احراز هویت دو عاملی، ۴۰ افزونه و بیش از ۱۰ والت رمزارز می‌پردازد.

🤖 این بدافزار نسخه‌ی باز-طراحی شده‌ی بدافزار Oski است و عملکرد آن به‌شدت تقویت شده و بهبود یافته است.

🔺بدافزار Oski که در جولای ۲۰۲۰ توسط توسعه‌دهندگانش متوقف شد، عملکردی مشابه Mars Stealer داشت و داده‌های مربوط به والت‌های رمزارز و پسوردها را سرقت می‌کرد.

💬 نکته‌ی جالب در مورد Mars Stealer این است که چنانچه زبان دستگاه یکی از موارد روسی، بلاروسی، قزاقی، آذربایجانی و ازبکی باشد، بدافزار از دستگاه کاربر حذف می‌‎شود و عمل مخربی بر آن انجام نمی‌دهد.

💰 متاسفانه این بدافزار با قیمت نسبتا پایینی بین ۱۴۰ تا ۱۶۰ دلار در فروم‌های مربوط به هک، در حال فروش است و این امر نرخ گسترش آن و آلودگی دستگاه‌ها را افزایش می‌دهد.

🔬 این بدافزار توسط آزمایشگاه بیت‌بان شناسایی می‌شود.

🌐 مشخصات Mars Stealer و لیست کامل مرورگرها، برنامه‌های 2FA، افزونه‌ها و والت‌های رمزارز مورد حمله‌ی آن

⭕️ مایکروسافت ماکروها را غیرفعال خواهد کرد

⚠️ همانطور که پیش‌تر بارها به حملات سایبری‌ای که از طریق برخی برنامه‌های مایکروسافت مانند ورد، اکسل و پاورپوینت رخ می‌دهند اشاره شد، مهاجمان با استفاده از ماکروهای VBA می‌توانستند اعمال مخرب متنوعی مانند سرقت اطلاعات را صورت دهند.

📈 جالب است بدانید آغاز این حملات به دهه‌ی ۹۰ میلادی می‌رسد و بر اساس گزارش سیسکو، بیش از ۳۸٪ بدافزارهای ارسالی از طریق ایمیل، در قالب فایل‌های آفیس هستند.

💡 در همین راستا، قرار است مایکروسافت ماکروها را در نسخه‌ی ۲۲۰۳ پنج برنامه‌ی اصلی خود (موارد زیر) غیرفعال کند.

> PowerPoint
> Access
> Word
> Excel
> Visio

💬 بعد از اعمال این تغییر، هنگام باز کردن فایل‌های دارای ماکرو، به جای گزینه‌ی Enable Editing، پیامی حاوی ریسک موجود در اجرای ماکروهای فایل، و یک گزینه‌ی Learn More به کاربر نمایش داده می‌شود.

⚙️ کاربر با کلیک بر گزینه‌ی Learn More به صفحه‌ای هدایت می‌شود که در آن راهنمایی برای فعال کردن ماکروها با ذخیره‌ی فایل و حذف MOTW آورده شده است.

🔗 ۳ نمونه‌ی استفاده از ماکرو در (اکسل - ورد - پاورپوینت)

⭕️ کلاهبرداری تلگرامی:
خالی کردن حساب بانکی
توسط برنامه‌های صیغه‌یاب

⚠️ اخیرا تعداد ۸۶۷ تروجان پیامکی در قالب عناوینی چون صیغه پاک و صیغه‌یاب، و از راه‌های مختلفی چون کانال‌ها و گروه‌های تلگرامی منتشر شده‌اند که در صورت نصب بر دستگاه کاربر، اطلاعات کارت بانکی‌اش را سرقت و با دسترسی به پیامک‌های وی، حسابش را خالی می‌کنند.

🤖 روش کلاهبرداری

۱. پس از نصب و ورود کاربر به برنامه، برای دسترسی به امکانات آن، از وی خواسته می‌شود مبلغی معادل ۲۰۰۰ تومان را پرداخت کند.
۲. سپس برای واریز به یک درگاه جعلی پرداخت هدایت و اطلاعات کارت بانکی‌اش سرقت می‌شود.
۳. گفتنی است در برخی نمونه‌ها، بدافزار مجوز ارسال پیامک و دسترسی به مخاطبین را از کاربر دریافت می‌کند، که می‌تواند منجر به ارسال پیام‌های جعلی به مخاطبین قربانی گردد.

🔺 نکته جالب توجه اینکه، علاوه بر کارکرد بسیار مشابه این بدافزارها به بدافزارهای مربوط به کلاهبرداری‌های ثنا و عدالت همراه، برخی از آنها نام بسته‌ی یکسانی هم دارند.
از جمله نام این بسته‌ها می‌توان ir.pardakht و caco333 .ca اشاره کرد.

💎 تمامی این بدافزارها توسط اپلیکیشن ضدبدافزار بیت‌بان شناسایی می‌شود.

⭕️ هشدار به کاربران آیفون و آیپد

⚠️ اخیرا یک آسیب‌پذیری حساس در iOS کشف شده، که مهاجم می‌تواند با استفاده از آن، کد مخرب دلخواهش را بر دستگاه قربانی اجرا و به آن نفوذ نماید.

🤖 جزئیات این آسیب‌پذیری (CVE-2022-22620) هنوز مشخص نیست، و تنها موردی که شرکت اپل به آن اشاره کرده، این است که این آسیب‌پذیری مربوط به استفاده‌ی نادرست از حافظه‌ی پویا در برنامه‌هاست.

👀 به‌نظر می‌رسد آلودگی دستگاه‌های آیفون و آیپد توسط این آسیب‌پذیری، از طریق مشاهده‌ی صفحات مخرب وب توسط کاربر اتفاق افتاده است.

🔎 لازم به ذکر است که تمام مرورگرهای iOS و ipadOS که بر اساس موتور مرورگر WebKit هستند مانند سافاری، گوگل کروم و موزیلا فایرفاکس در مقابل این اکسپلویت، آسیب‌پذیرند.

🛡 برای جلوگیری از اکسپلویشن این آسیب‌پذیری، کاربران می‌بایست دستگاه‌های خود را به نسخه‌ی iOS ۱۵.۳.۱ و iPadOS ۱۵.۳.۱ به‌روزرسانی نمایند.

Settings → General → Software update

📱 دستگاه‌ها و مدل‌های آسیب‌پذیر

- تمام مدل‌های iPad Pro
- نسخه‌ی ۲ به بعد iPad Air
- آیپدهای نسل ۵
- آیپد مینی‌های نسل ۴
- آیپاد تاچ مدیا پلیر نسل ۷

⭕️ به‌روزرسانی‌های مهم و فوری

🔺 آسیب‌پذیری گوگل‌کروم

دو روز گذشته گوگل اعلام کرد که ۱۱ نقص امنیتی را در آخرین نسخه‌ی به‌روزرسانی شده‌ی گوگل کروم برطرف کرده است. یکی از این موارد، آسیب‌پذیری روز صفر CVE-2022-0609 است که سطح آن بسیار حساس گزارش شده و متاسفانه هکرها در حال سوءاستفاده از آن هستند.
این آسیب‌پذیری امکان اجرای کد از راه دور بر سیستم قربانی و دور زدن سندباکس امنیتی مرورگر را برای هکر فراهم می‌کند.

به‌روزرسانی

Help > About Google Chrome > Relaunch >> Version 98.0.4758.102

🔺 آسیب‌پذیری Apache Cassandra

روز گذشته نیز گزارشی مبنی بر وجود یک آسیب‌پذیری امنیتی با حساسیت بالا در سیستم مدیریت پایگاه داده‌ی Apache Cassandra منتشر شد، که امکان اجرای کد از راه دور را برای هکر فراهم می‌کند.

این آسیب‌پذیری (CVE-2021-44521) در نسخه‌های ۳.۰.۲۶، ۳.۱۱.۱۲ و ۴.۰.۲ وصله شده است.

🔺 آسیب‌پذیری Grafana

مهاجمان با استفاده از این آسیب‌پذیری (CVE-2022-21703) می‌توانند با فریب دادن کاربران اصلی برای دعوت مهاجم به عنوان کاربر جدید، سطح دسترسی خود را ارتقا دهند.

این آسیب‌پذیری در نسخه‌های ۷.۵.۱۵ و ۸.۳.۵ وصله شده است.

⭕️ روش جدید فیشینگ در بلاکچین و قراردادهای هوشمند

⚠️ جدا از روش‌های معمول فیشینگ در web 2.0، مهاجمان از روش جدیدی به‌نام ice phishing در خدمات web 3.0 و در این مورد بلاکچین استفاده می‌کنند که در آن؛

🪝هکر به جای هدایت کاربر به صفحات و برنامه‌های جعلی، و سرقت کلیدهای خصوصی، رمز عبورها و دیگر اطلاعات محرمانه‌ی وی، می‌کوشد با فریب دادنش، او را به امضای تراکنشی وادارد، که تأیید توکن‌های کاربر را به مهاجم واگذار می‌کند.

💰در نهایت هم پس از موافقت و امضای کاربر، هکر به دارایی‌های وی دسترسی یافته، آنها را به حساب یا والت خود منتقل می‌نماید.

🧲 یک نمونه از این روش فیشینگ، حمله‌ی Badger DAO است که در آن، هکر با دسترسی به کلید Cloudflare API، اسکریپت مخربی را به فرانت‌اند قراردادهای هوشمند Badger تزریق، و با استفاده از آن، درخواستی مبنی بر امضای تراکنش‌های ERC-20 جهت اعطای تاییدیه به خود، برای کاربران ارسال کرده بود.

💸 در این حمله، هکر توانست تنها در ۱۰ ساعت، بیش از ۱۲۰ میلیون دلار را از ۲۰۰ حساب سرقت کند.

🌐 نمونه درخواست امضای تراکنش تتر به یونی‌سواپ

⭕️ کلاهبرداری در قالب اپلیکیشن رزومه - بسته‌بندی در منزل

⚠️ اخیرا بدافزاری با نام «بسته‌بندی در منزل» توسط بیت‌بان شناسایی شده، که نام آیکون آن «رزومه» بوده و جزو دستهْ بدافزارهای بسته‌ی ir.pardakht است.

🤖 روش کلاهبرداری

۱. کاربر برنامه را نصب می‌کند، و سپس با فشردن گزینه‌ی «ارسال رزومه و ثبت»، صفحه‌ای داخل برنامه باز می‌شود که اطلاعات زیر را از وی درخواست می‌کند:

نام و نام خانوادگی - موبایل - کد ملی - آدرس - کد پستی (+تصویر)

۲. سپس محصول مورد نظر برای بسته‌بندی را انتخاب و بر گزینه‌ی «ثبت و پرداخت» کلیک می‌کند.

۳. اطلاعات ثبت‌شده به سرور مهاجم ارسال و کاربر به یک صفحه فیشینگ هدایت، و از وی خواسته می‌شود مبلغ ۲۳۰۰۰ تومان پرداخت کند. (+تصویر)

۴. پس از وارد کردن اطلاعات کارت و فشردن گزینه‌ی پرداخت، صفحه‌ی پرداخت ناموفق به کاربر نمایش داده می‌شود.

۵. حال از آنجا که اطلاعات کارت قربانی به سرور مهاجم ارسال شده، و با توجه به اخذ مجوز دسترسی به پیامک‌ها از طرف برنامه، کلاهبردار حساب بانکی قربانی را خالی می‌کند.

💎 این بدافزار توسط اپلیکیشن ضدبدافزار بیت‌بان شناسایی می‌شود.

🌐 اطلاعات بدافزار + تحلیل فنی

⭕️ هک حساب بانکی و والت رمزارز در گوگل پلی

⚠️ به‌تازگی یک تروجان بانکی در قالب برنامه‌ی Fast Cleaner در گوگل پلی شناسایی شده، که در صورت نصب بر دستگاه کاربر، می‌تواند اطلاعات حساب‌های بانکی و والت‌های رمزارز وی را ضبط، کدهای 2FA را دریافت، و در نهایت حساب و والت کاربر را خالی نماید.

🤖 برنامه‌ی Fast Cleaner بیش از ۵۰ هزار نصب در گوگل پلی داشته، و کارکرد خود را افزایش سرعت گوشی از طریق حذف فایل‌های اضافی و موانع بهینه‌سازی باتری بیان کرده است.

🧲 این بدافزار که Xenomorph نامیده شده، با استفاده از Accessibility Services تمام مجوزهای موردنیازش را دریافت و لاگ‌های دستگاه را جمع‌آوری می‌کند.

💸 این تروجان از طریق حمله Overlay به طیف گسترده‌ای از برنامه‌های بانکی و والت‌های رمزارز نفوذ و اطلاعات کاربر را با استفاده از صفحات جعلی سرقت می‌کند.

🔗 حمله Overlay در بدافزار Xenomorph

💎 بدافزار Xenomorph توسط اپلیکیشن ضدبدافزار بیت‌بان شناسایی می‌شود.

🌐 مشخصات Xenomorph + لیست ۷۵ برنامه‌ی بانکی و والت رمزارز مورد هدف این بدافزار

⭕️ ایران رتبه نخست آلودگی به بدافزار در جهان

⚠️ بر اساس گزارش کسپرسکی، متاسفانه ایران در سال ۲۰۲۱ برای پنجمین سال متوالی، بالاترین نرخ آلودگی به بدافزار در جهان را دارا بوده است.

📈 گرچه این نرخ از ۶۷.۷۸٪ در سال ۲۰۲۰ به ۴۰.۲۲٪ در سال ۲۰۲۱ کاهش یافته، اما همچنان اختلاف معناداری با جایگاه بعدی خود یعنی چین با نرخ آلودگی ۲۸.۸۶٪ دارد.

📊 در میان بدافزارهای شناسایی شده، بیش از ۴۲ درصد را تبلیغ‌افزارها، ۳۵ درصد را ریسک‌تول‌ها و ۱۹ درصد را انواع تروجان‌ها تشکیل می‌دهند.

🔗 ریسک‌تول (RiskTool) چیست؟

🔺لازم به ذکر است که موارد فوق، آمار مربوط به کاربران کسپرسکی است و متاسفانه، وضعیت غالب کاربرانی که از آنتی‌ویروس استفاده نمی‌کنند، احتمالا بدتر از اینهاست.

💎 گفتنی‌ست تمامی این بدافزارها، توسط اپلیکیشن ضدبدافزار بیت‌بان شناسایی می‌شوند.

🌐 لیست تبلیغ‌افزارها، ریسک‌تول‌ها و بدافزارهای موبایلی، با بیشترین حجم آلودگی

❓به‌نظر شما علت اصلی این نرخ بالای آلودگی در ایران چیست؟

۱. بی‌توجهی و کم‌اطلاعی کاربران از تهدیدات و روش‌های امن‌سازی
۲. کمبود یا نبود نظارت سخت فروشگاه‌های اندرویدی بر برنامه‌ها
۳. ترکیب خطی دو مورد فوق