حتماً اسم اسکایپ (همون سرویس پیامرسان قدیمی که خیلیها هنوز توی محل کار یا شرکت استفاده میکنن) به گوشت خورده. حالا خبر بد اینه که هکرها جدیداً از طریق اسکایپ دست به کار شدن و دارن با یه روش جالب و البته خطرناک، بدافزار پخش میکنن.
ماجرا اینجوریه که محققای شرکت امنیت سایبری کسپرسکی (Kaspersky، یکی از معروفترین شرکتها در زمینه امنیت اطلاعات) کشف کردن که یه بدافزار تازه به اسم GodRAT پخش شده که قبلاً دیده نشده بوده! این بدافزار رو هکرها با یه ترفند خیلی جالب و ناجور ارسال میکنن؛ اونم با یه فایل عکس که ظاهرش مثل اسناد مالی به نظر میاد.
اینجوری توی اسکایپ پیام میفرستن و یه فایل تصویری رو به اسم اطلاعات مالی مهم میفرستن. اما تو اون عکس با روشی به اسم steganography (یا نهاننگاری، یعنی قایم کردن اطلاعات داخل یه فایل معمولی مثل عکس یا آهنگ) یه کد مخفی قایم کردن. وقتی این فایل اجرا میشه، همین کد میره و بدافزار اصلی GodRAT رو از یه سرور دیگه دانلود میکنه و میندازه توی سیستم قربانی.
حالا GodRAT چیه؟ RAT درواقع مخفف Remote Access Trojan هست، یعنی یه جور بدافزاره که به هکرها اجازه میده از راه دور بر سیستم قربانی کنترل داشته باشن. اینجوری تقریباً هرچی لازمه رو جمع میکنه: اطلاعات سیستمعامل، اسم کامپیوتر (hostname)، اسم پروسه و شناسهش (process ID)، نوع آنتیویروس و حتی اینکه درایور خاصی برای ضبط صفحه یا صدا نصبه یا نه. خلاصه هرچیزی که شاید بعداً به درد هکرها بخوره.
اما اینجا ماجرا تموم نمیشه؛ بستگی به چیزایی که GodRAT پیدا میکنه، ممکنه بهش افزونههای بیشتری بدن. این افزونهها میتونن مثلاً فایلگردان (file explorer) یا رمزعبردزد (password stealer) باشن، یعنی میتونن فایلهای سیستم رو بخونن یا پسوردها رو بدزدن! بعضی وقتا هم هکرها از GodRAT استفاده میکردن تا یه بدافزار معروف دیگه به اسم AsyncRAT رو نصب کنن که دسترسی رو برای مدت طولانی، حتی شاید دائمی، به سیستم میده. AsyncRAT هم یه جور دیگه از همون RATهاست که بالاتر توضیح دادم.
محققای کسپرسکی گفتن که GodRAT احتمالاً یه نسخه تازهتر و تکاملیافته از بدافزاری به اسم AwesomePuppet هست که سال ۲۰۲۳ کشف شده بود و احتمالاً به گروه هکری معروفی به اسم Winnti APT (گروه هکری خیلی حرفهای که مدتهاست توسط محققان زیر نظره) ربط داره. نکته جالب اینه که شباهتهای زیادی بین GodRAT و یه RAT قدیمیتر به اسم Gh0st RAT پیدا شده؛ مثل نحوه اجرا با پارامترهای خاص یا بخشهایی از کد و حتی یه هدر خاص که تو هر دوتاشون دیده شده! این یعنی احتمالاً سازنده یا منشأشون یکیه.
این حملهها بیشتر به سمت شرکتها و بیزنسهای کوچیک و متوسط (SMB یعنی Small and Medium Businesses) توی کشورهایی مثل امارات، هنگکنگ، اردن و لبنان بوده. دقیق نگفتن چند نفر یا چند شرکت آلوده شدن اما تاکید کردن اکثراً همین شرکتهای کوچیکتر بودن.
راستی تا مارس ۲۰۲۵ (تقریباً یکی دو ماه پیش)، هکرها از طریق خود اسکایپ بدافزار رو ارسال میکردن ولی بعدش روش یا کانالشون رو عوض کردن. پس اگه از این مسنجرها هنوز توی محل کار استفاده میکنین، خیلی حواستون جمع باشه؛ مخصوصاً به فایلهای تصویری یا اسنادی که ادعا میشه اطلاعات مالی حساس دارن و از طرف آدمهایی که کامل نمیشناسین میفرستن!
در آخر هم باید بدونی که حتی ابزارهای امنیتی قدیمی و حملات قدیمی هنوز هم دارن تکامل پیدا میکنن و ممکنه به روشهای جدیدتری بیان سراغت. پس همیشه هوشیار بمون و از آنتیویروس مناسب و ابزارهای مدیریت پسورد قوی استفاده کن (Password Manager یعنی برنامهای که رمزها رو امن و سرّی برات نگه میداره، تا رمزات لو نره!).
منبع: +
