بذار یه خبر خیلی باحال، البته ترسناک، رو بهت بگم! یه سری آدم زرنگ اومدن یه سایت تقلبی درست کردن که مثلاً قراره Telegram Premium بهت بده (همون نسخه پولی تلگرام که امکانات اضافه داره)، ولی در اصل دارن کلی بدافزار خفن پخش میکنن. این بدافزار هم Lumma Stealer هست که واقعاً دردسر درست میکنه!
خب بذار روتوضیح بدم: Lumma Stealer یه نوع بدافزاره، یعنی برنامهای که به قصد دزدیدن اطلاعات و خرابکاری، مخفیانه روی سیستم نصب میشه. حالا این سایت تقلبی (telegrampremium[.]app) کاری میکنه که به محض ورود بهش، یک فایل با اسم start.exe رو خودکار برایت دانلود کنه، یعنی حتی لازم نیست رو چیزی کلیک کنی یا تایید کنی، خودش کارشو میکنه! به این جور کارها میگن drive-by download؛ یعنی فقط وارد سایت میشی و خودبهخود فایل مخرب میاد رو سیستمت.
این start.exe هم با زبان C/C++ نوشته شده و با کلی ترفند مثل cryptor obfuscation میاد تا آنتیویروسها رو دور بزنه. (cryptor obfuscation یه تکنیکه که کد رو پیچیده و غیرقابل خوندن میکنه تا شناسایی نشه.)
وقتی این فایل اجرا بشه، شروع میکنه به دزدیدن اطلاعات مهمت: از پسوردهایی که تو مرورگرت ذخیره کردی، تا اطلاعات کیف پول ارزدیجیتال و حتی کلی چیز دیگه از خود سیستمت… خلاصه هر چی فکرشو بکنی رو میتونه جمع کنه و بفرسته. این کار باعث میشه فاجعهای مثل دزدیدن هویت یا خالی شدن کریپتوت حسابی اتفاق بیفته.
یه نکته باحال (و البته خطرناک) اینه که فایل اجرایی این بدافزار رو جوری ساختن که سطح پیچیدگیش (یا همون entropy) خیلی بالاست، یعنی باز هم شناساییش برای ابزارهای امنیتی سختتر میشه. حتی بررسیها نشون داده این بدافزار میتونه با کلی قسمت از ویندوز ارتباط برقرار کنه؛ فایل بسازه یا پاک کنه، رجیستری رو تغییر بده، Clipboard رو چک کنه (همون بخشی که کپی/پیست میکنی)، و کلی چیزای دیگه. حتی میتونه اسکریپتهای رمزگذاری شده رو به عنوان عکس توی پوشه %TEMP% بندازه و بعداً اجراشون کنه که ردپایی نمونه.
جالب اینجاست که این بدافزار پولدار زرنگ، اولش خودش رو متصل به سرورهای رسمی تلگرام نشون میده که ملت شک نکنن، ولی یه عالمه اطلاعات رو به دامنههای مخفی و عجیبی میفرسته که به راحتی بسته نشه. (اصطلاحاً میگن دارد به domain های الگوریتمی وصل میشه که شناساییش سخت باشه.) حتی سراغ سرور DNS عمومی گوگل هم میره تا بتونه دور کنترل داخلی شبکه رو بزنه.
یه تکنیک دیگه هم داره: با Sleep اجراش رو معطل میکنه و با LoadLibraryExW کتابخانهها رو مخفیانه لود میکنه که حتی تحلیلگرهای امنیتی هم بهسختی گیرش میندازن!
این سایت تازه ثبت شده و کاملاً هم بوی موقتی بودن میده؛ یعنی اومدن سری کارشو بکنن و برن پی کارشون تا لو نرفتن.
حالا چه کار کنیم که این بلاها سرمون نیاد؟ ببین:
- از هر سایتی که ادعای «تلگرام پریمیوم رایگان» یا این مدلها رو میکنه دوری کن!
- سازمانها باید حتماً ابزارهای پیشرفته مثل EDR داشته باشن (یعنی سامانههایی که دائم رفتار مشکوک رو شناسایی و گزارش میدن)
- دسترسی به سایتهای مشکوک باید مسدود بشه.
- دانلود کردن فایل باید کنترل بشه یا محدود باشه.
- حتماً احراز هویت دوعاملی فعال کن تا اگه رمزت لو رفت، یکی دیگه هم جلوی هکر رو بگیره.
- رمزها رو هم مرتب عوض کن (credential rotation یعنی این کار).
- حواست به رفتار عجیب سیستم باشه؛ هر چی زودتر بفهمی اتفاقی افتاده، سریعتر میتونی واکنش نشون بدی.
در کل، هوشیار باش و هر چی سایت عجیب و غریب دیدی که وعدههای وسوسهکننده میدن، حتماً دُز شکاکبودنت رو بالا ببر! بین خودمون باشه، دنیای دیجیتال پر از این حقههاست.
اگه دنبال ابزار امنیتی بیشتر هستی، فایروال خوب یا ویپیان با آنتیویروس، یه سرچ تو سایتهای معتبر بزنی دستت میاد کدومها الان خوبن.
خلاصه، زود گول نخور و همیشه مراقب اطلاعاتت باش! 🚨
منبع: +
