رادار تكنولوژي

مواظب باشید! VPN رایگان؟؟ این جدیدا داره بدافزار می‌ریزه تو لپ‌تاپت از طریق گیت‌هاب!

  • ۲۲ تیر ۱۴۰۴

ببین رفیق، این روزا هر کی می‌خواد اینترنتش خصوصی و امن‌تر باشه یا دنبال ابزار رایگان برای بازی‌هاشه، حتماً با اسم VPN رایگان زیاد برخورد کرده. ولی قضیه اینه که الان یه داستان خطرناک درست شده و خرابکارها دارن از این علاقه همه به VPN‌های مجانی سواستفاده می‌کنن و کلی بدافزار دارن پخش می‌کنن!

چی شده؟
یه گزارش از یه شرکت امنیتی به نام Cyfirma اومده که می‌گه بعضی از افراد بدجنس اومدن روی گیت‌هاب (GitHub، یعنی یه سرویس خیلی معروف که معمولا برنامه‌نویس‌ها پروژه‌هاشونو اونجا می‌ذارن) بدافزارهاشونو قایم کردن با اسم‌های وسوسه کننده. مثلاً VPN رایگان برای کامپیوتر یا حتی ابزارهای مربوط به بازی مثل “Minecraft Skin Changer”. یعنی کسایی که دنبال رایگانیا یا ابزار باحال برای بازیا هستن، بیشتر قربانی می‌شن.

داستان از چه قراره؟
این بدافزارها دقیقاً چه کار می‌کنن؟ خیلی با حال و حرفه‌ای طراحی شدن: یک فایلی رو دانلود می‌کنی (مثلا یه فایل فشرده با رمز که خیال می‌کنی امنه، چون راهنما و همه چی هم داره!)، وقتی بازش می‌کنی یه برنامه اجرا می‌کنی که اتفاقاً ظاهراً VPN یا ابزار قانونی هم نشون می‌ده. اما پشت پرده، این برنامه که بهش می‌گن Dropper (یعنی یه بدافزاری که بقیه بدافزارها رو نصب می‌کنه)، کار عجیب و غریبی با سیستم می‌کنه.

یکی از همین Dropperها “Lumma Stealer” رو نصب می‌کنه که خودش یه دزداطلاعات الکی نیست، بلکه شدیداً ماهرانه طراحی شده. Lumma Stealer اطلاعات شخصی و رمزها و … رو می‌دزده.

برنامه چجوری قایم می‌شه؟
ببین، اولین چیزی که این‌ها رو خطرناک می‌کنه اینه که حمله چندمرحله‌ای دارن؛ مثلاً فایل اجرایی که اول اجرا می‌کنی (مثلا Launch.exe)، میاد یه فایل DLL که اسمش msvcp110.dll هست رو (DLL یعنی فایل‌هایی که قابلیت اجرا توی ویندوز دارن ولی معمولا مستقیماً اجرا نمی‌شن) میریزه تو پوشه AppData (این پوشه تو ویندوز جای قایم‌کردن فایل‌هاست و معمولا کاربرا اصلاً نمی‌رن سراغش!).

حالا این فایل DLL رو خیلی زیرکانه اجرا می‌کنه؛ خودش نمیاد مستقیم بدی اجرا شه، بلکه برنامه از توی حافظه اجراش می‌کنه (یعنی بهش می‌گن “memory injection”)؛ اینطوری اکثر آنتی‌ویروس‌های معمولی نمی‌تونن پیداش کنن، چون اصلاً فایلی به صورت مشکوک روی هارد نیست که بخواد اسکن شه.

از ابزارهای قانونی مثل MSBuild.exe (یه ابزار رسمی خود ویندوزه برای ساخت برنامه‌های نرم‌افزاری) هم سواستفاده می‌کنن. یعنی بدافزار خودش رو می‌فرسته تو یه جای درست درمون اجرا بشه تا کسی بهش شک نکنه. به این می‌گن “process injection” و “DLL side-loading”، یعنی فایل تقلبیِ DLL رو جای یکی از اصلی‌ها جا می‌زنه.

وای خدای من! تازه اینا برای سخت‌تر شدن پیدا شدن، کلی تکنیک ضد ردگیری و دیباگ کردن به کار بردن. مثلاً اگه بفهمه یه نفر داره برنامه رو آنالیز می‌کنه یا عیب‌یابی می‌کنه (به کمک IsDebuggerPresent یا چیزای دیگه)، کار رو دقیق‌تر و مبهم‌تر می‌کنه.

چرا باید نگران باشیم؟
چون حتی خیلی از ماها فکر می‌کنیم گیت‌هاب جای امنیه و به راحتی به هر چیزی که هست اعتماد می‌کنیم. ولی حقیقت اینه که هرکسی می‌تونه هر فایلی رو آپلود کنه اونجا و کاربرا رو گول بزنه. مخصوصاً فایلای فشرده شده با رمز (Password-protected ZIP) که اگر راهنما و توضیح استفاده هم داشته باشه، ممکنه خیال کنیم امنه!

چطور باید مراقب باشیم؟

حواست باشه:

  • هیچوقت به نرم‌افزارایی که منشأشون مشخص نیست، مخصوصاً VPN یا مود رایگان بازی‌ها، اعتماد نکن! هر چقدر هم باحال و رایگان به نظر بیان.
  • از دابل کلیک‌کردن روی فایلای اجرایی ناشناس (exec) یا اونایی که تو راهنماهاشون چیزای عجیب نوشته شدن، کاملاً پرهیز کن.
  • فایلای فشرده‌ای که از منابع غیررسمی می‌گیری (حتی اگر رمز داشته باشن)، رو اسکن کن و با شک و تردید کامل بازشون کن.
  • اجازه اجرا شدن فایل‌ها تو پوشه‌هایی مثل AppData رو ببند یا حداقل روش حساس باش. چون اکثر بدافزارها ترجیح می‌دن payload (یعنی همون بخش اصلی خرابکاریشون) رو اونجا قایم کنن.
  • اگه یه فایل DLL توی پوشه‌هایی مثل Roaming یا Temp (پوشه‌های موقتی ویندوز) دیدی، سری پیگیر ماجرا شو.
  • فعالیتای غیرعادی مثل اجرای ناگهانی MSBuild.exe یا taskهای مشکوک رو توی Task Manager حسابی زیر نظر بگیر.

نکته فنی: حتماً از آنتی‌ویروسی استفاده کن که قابلیت “behavior-based detection” داشته باشه، یعنی بجای اسکن ساده، رفتار برنامه‌ها رو موقع اجرا زیر نظر بگیره و اگه کارای مشکوک کردن، سریع خبرت کنه. البته بهتره آنتی‌ویروست امکانات “Endpoint Protection” و “DDoS Protection” هم داشته باشه؛ اینا یعنی بتونه به شکل جامعی جلوی حملات، حتی حملاتِ رمزی و حملاتی که مستقیم به حافظه و شبکه حمله می‌کنن، رو بگیره.

در آخر یه یادآوری: به هر ابزار و برنامه رایگانی که تو نت دیدی مخصوصاً اونایی که تو فروم‌ها یا سایتای غیراصلی تبلیغ شدن، دلت رو خوش نکن! ممکنه خیلی شیک اطلاعاتتو بدزدن و خودت هم نفهمی چی شد!

پی‌نوشت دوستونه: اگه دوست داری کامل‌تر مراقب باشی، ابزارهای محافظت از Ransomware (یعنی باج‌افزارها) و Firewall (دیوار آتش؛ برای فیلترکردن ترافیک ورودی و خروجی کامپیوترت) رو هم جدی بگیر!

همیشه گوش‌به‌زنگ و شاداب باش 😎

منبع: +