نوشته‌ها

پسوردهای ضعیف توسط بدافزار FormBook دزدیده می شوند

FormBook یک «سرویس بد افزار» است، که به صورت کاملا مقرون به صرفه اطلاعات افراد را میدزدد. این بد افزار از ابتدای سال 2016 در انجمن های هکینگ مختلف تبلیغ می شود.

هر فردی می تواند FormBook را تنها با 29 دلار در هفته یا 59 دلار در ماه اجاره کند. این بد افزار قابلیت های جاسوسی پیشرفته، از جمله قفل شکن، دزد پسورد و شنود را بر روی ماشین های هدف نصب میکند و از طریق شبکه، عکس ها، اطلاعات وب سایت و موارد دیگر را جاسوسی می کند.

به گفته محققان، مهاجمان در هر حمله ی سایبری برای انتشار بدافزار FormBook عمدتا از ایمیل هایی دارای پیوست در شکل های مختلف استفاده می کنند، از جمله فایل های PDF با لینک های دانلود مخرب، فایل های DOC و XLS با ماکروهای مخرب و فایل های بایگانی(ZIP، RAR، ACE و ISOs).

هنگامی که این نرم افزار مخرب بر روی یک سیستم هدف نصب می شود، بدافزار خود را به پروسه های مختلف تزریق می کند و شروع به گرفتن عبارات کلیدی ، عبارات ذخیره شده ، کلمات عبور و سایر اطلاعات حساس از برنامه های مختلف، از جمله Google Chrome، Firefox، Skype، Safari، Vivaldi، Q-360، Microsoft Outlook، Mozilla Thunderbird، 3D-FTP، FileZilla و WinSCP می کند.

FormBook به طور مداوم تمام داده های سرقت شده را به یک سرور کنترل از راه دور ارسال می کند و به مهاجم اجازه می دهد دستورات دیگری را در سیستم هدف، از جمله فرایندهای شروع، خاموش کردن و راه اندازی مجدد سیستم و سرقت کوکی ها اجرا کند.

مهاجمان حتی می توانند اطلاعاتی را که به وسیله FormBook به صورت موفقیت آمیز جمع آوری شده اند برای فعالیت های سایبری دیگر از جمله سرقت هویت، عملیات فیشینگ، تقلب و اخاذی بانکی استفاده کنند.

FormBook نه پیچیده است و نه نرم افزاری غیر قابل تشخیص است، بنابراین بهترین راه برای محافظت خود در برابر این بدافزار، نصب یک نرم افزار آنتی ویروس خوب در سیستم شما و به روز نگه داشتن آن است.

منبع:

https://thehackernews.com/2017/10/formbook-password-stealer.html

گسترش بدافزار از طریق فضای ابری

چرا ابرها توسط هکرها بیشتر هدف قرار می گیرند؟ جواب این سوال ساده است، میزان استفاده از فضای ابری در حال افزایش است. بر طبق گفته Gartner، تا سال 2020، ظرفیت های محاسباتی بیشتری توسط ارائه دهندگان خدمات ابری نظیر IaaS و PaaS فروخته می شود و در مراکز داده سازمانی، مورد استفاده قرار می گیرد.

دو چالش ذاتی در امنیت ابر و آسیب پذیری آن به خصوص در مواجهه با بدافزار وجود دارد. بسیاری از برنامه های IaaS و SaaS از حفاظت بومی برخوردار نیستند. همچنین بدافزار پس از ورود به ابر می تواند هزاران یا حتی میلیون ها سیستم و دستگاه را تحت تاثیر قرار دهد. همچنین به دلیل عدم حفاظت از پایانه ها و پورت های باز و آسان بودن دسترسی، داده ها در معرض خطر قرار دارند.

به دلیل این چالش های ذاتی، برنامه های ابر تا مدتهای زیادی هدف اصلی مهاجمان برای خرابکاری بوده است. Google نیز حتی به تازگی تحت تأثیر حمله فیشینگ قرار گرفته است که اگر با موفقیت انجام می شد، فیشرها به ایمیل و دفترچه آدرس شما دسترسی پیدا می کردند.

بدافزار چگونه از طریق یک شبکه ابری نفوذ می کند؟

در هنگام آپلود: هنگامی که بدافزار و باج افزار از یک دستگاه کاربر به برنامه های ابر آپلود می شوند، می توانند مقدار زیادی اطلاعات را به خطر بیندازند. نرم افزارهای ناکارآمد و غیرقابل کنترل می توانند به راحتی به برنامه های ابر دسترسی داشته باشند و ممکن است با نرم افزارهای مخرب یا باج افزار آلوده شوند. در هنگام آپلود، این فایل ها اگر به درستی اسکن، شناسایی و مسدود نشوند، می توانند تمام داده های ابر شما را با خطر مواجه کنند.

در هنگام دانلود: فایل هایی که دارای نرم افزارهای مخرب هستند و از قبل در ابر وجود دارند می تواند دانلود شده و سایر دستگاه ها را آلوده کنند. وقتی بدافزاری در ابر وجود دارد ، تشخیص آن حیاتی است زیرا در غیر این صورت کارکنان ممکن است نرم افزارهای مخرب را از یک برنامه قابل اعتماد به یک دستگاه شخصی منتقل کنند.

از طریق برنامه های متصل: عدم وجود حفاظت قوی از تهدید بدان معنی است که نرم افزارهای مخرب به احتمال زیاد در حال حاضر در برنامه های ابر وجود دارند. برای هر سازمان، برنامه های ابری متصل شده می توانند در افزایش بهره وری مفید باشند. برای مثال، با استفاده از Slack در کنار همکاری G Suite می توانید اسناد به اشتراک گذاشته شده را به سادگی ایجاد کنید. متاسفانه، ارتباط دائمی بین سیستم ها نیز ابزاری برای گسترش نرم افزارهای مخرب است.

جلوگیری از گسترش بدافزار

راه های زیادی برای جلوگیری از ورود بدافزار به محیط ابر وجود دارد و تمام این روش ها با آموزش امنیت در تمام سطوح آغاز می شود. آموزش کارکنان یکی از قوی ترین سلاح ها برای مبارزه با نرم افزارهای مخرب ابری است. شما باید کارمندان خود را برای جلوگیری از انتشار و استفاده از این بدافزارها آموزش دهید.

چند قانون مهم

  1. قانون طلایی: جلوگیری از نصب نرم افزارهای ناشناس بروی رایانه ها و تلفن های همراه ضروری است.
  2. آدرس ایمیل از فرستنده های نامتعارف را بررسی کنید. اگر فرستنده را نمی شناسید و در پیام او یک ضمیمه وجود دارد، آن را باز نکنید. شما همچنین می توانید ایمیل های HTML را فقط به متن تبدیل کنید تا از لینک های مخرب پنهان در صندوق ورودی خود جلوگیری کنید.
  3. اطمینان حاصل کنید که تمام سیستم عامل ها، پلاگین ها و مرورگرها به روز هستند – به این دلیل که این به روز رسانی ها معمولا دارای افزونه های امنیتی حیاتی هستند.
  4. اطمینان حاصل کنید آنتی ویروس ها در کل شرکت به روز می شوند.
  5. نرم افزارها و برنامه های قدیمی و غیر ضروری را حذف کنید.

استفاده از تکنیک فیشینگ در پیام های بانکی خصوصی برای جلب قربانیان

کارشناسان امنیتی هشدار دادند که یک کمپین فیشینگ جدید به منظور جلب مشتریان بانکی خصوصی برای دانلود نرم افزارهای مخرب پنهانی یا بدافزارها طراحی شدهاست.

ایمیل های جعلی از تکنیک های فیشینگ کلاسی استفاده می کنند تا اهداف خود را با مهندسی اجتماعی تحت تاثیر قرار دهند، از جمله استفاده از دامنه های مجاز بانکی و پیام های ایمن که اغلب توسط مشتریان بانکداری خصوصی دریافت می شود.

Barracuda Networks اعلام کرد که “این کار برای مجرمین جذاب است، زیرا اهداف از ارزش بسیار بالایی برخوردار هستند و در حال حاضر به ارتباطات ایجاد شده از سوی بانک های خود اعتماد کامل دارند.”

فروشندگان امنیتی ادعا میکنند که در ماه گذشته تغییرات زیادی در این موضوع دیده شده است، از جمله هدف قرار دادن چندین وام دهنده از جمله بانک مرکزی امریکا و بانکداری تجاری TD.

“در برخی موارد، این پیام ها یک سند word دارند که حاوی یک اسکریپت یا متن مخرب است و زمانی که کاربر قربانی سند را باز می کند، فایل ها در دایرکتوری کاربران بر روی دستگاه های ویندوزی بازنویسی می شود. پس از دانلود، مهاجمان می توانند اسکریپت یا متن را به چیزی بسیار مخرب مانند ransom ware یا info stealer برسانند.

آموزش و آگاهی کاربر در کنار امنیت لایه ای که قابلیت های پیشرفته سندباکس و ضد فیشینگ را در اختیار وی قرار می دهد به کاهش خطر کمک می کند. بر اساس یک مطالعه جدید در این هفته، فیشینگ بعنوان عمده ترین حمله باجگیری بوده است.

به گفته IronScales، کارمندان اغلب قربانی جعل هویت(67٪)، حملات مارک یا برند (35٪) وحمله های فصلی (31٪) هستند. آموزش کارکنان مدتهاست که بخشی از بهترین تمرین های امنیتی می باشد.

منبع: www.infosecurity-magazine.com

پلاگین تقلبی برای تعبیه درب پشتی در ورد پرس

اخیرا پلاگین یا افزونه ی تقلبی برای اسیب زدن به وردپرس منتشر شده است که در پشت صحنه تلاش می­کند تا کاربر را به این باور برساند که یک ورژن از یک پلاگین محبوب است و بالای 100هزاربار نصب شده است. x-wp-Spam-Shield-pro  پلاگین مزاحمی است که پلاگین محبوب wp-SpamShieldAnti-Spamرا مورد سوء استفاده قرار می­دهد. کدی که نویسنده برای طراحی درب پشتی در این پلاگین استفاده نموده ابتدا کلیه پلاگین­های دیگر را از جمله پلاگین­های امنیتی، غیر فعال نموده، داده­ها را می­دزد و در نهایت یک اکانت با دسترسی ادمین به صورت مخفی ایجاد می­کند.

محققآن Sucuri Security دریافتند این پلاگین مزاحم ساختار و نام­ فایل قانونی دارد اما همه­ی مفاد آن جعلی می­باشند. یکی از کلاس­های این پلاگین مخرب class-social-facebook.php نام دارد، این کلاس که به ظاهر هرگونه اسپم ناخواسته­ فیس بوک را مسدود می کند ولی به دنبال لیست کردن تمام پلاگین­های فعال در وردپرس که شامل موارد امنیتی می باشد و آن ها را غیرفعال می­کند. بنابراین می­تواند بطور بالقوه به سایت نفوذ کرده و آن را غیرقابل استفاده کند.

و دو کلاس دیگر به نام­های class-term-metabox-formatter.php  و   class-admin-user-profile.php   که برای اهداف جمع اوری اطلاعات طراحی شده بودند. اولی برای بدست اوردن ورژن وردپرس استفاده می­شود و دومی برای بدست آوردن لیست مدیران ورپرس می­باشد و به این ترتیب مهاجم تمام اطلاعات کار با سایت را خواهد داشت.

یکی دیگر از فایل­ها که plugin-header.php نامیده می­شود برای اضافه کردن حساب کاربری یک مدیر با نام mw01main به سایت استفاده می شود. این فایل شامل کدی برای پاک کردن خودش است.

 همچنین این پلاگین جعلی شامل کدی می باشد که با فعال شدن هر مدیر مهاجم مطلع می­شود. بنابراین زمانی که یک سایت جدید در دسترس باشد مهاجم باخبر می شود.

Send Post() هم تابعی از پلاگین مذکور می­باشد که اطلاعات سایت­های اسیب دیده را جمع اوری کرده  و برای مهاجم ارسال می­کند، اطلاعاتی مانند کاربر، پسورد، ادرس ip، سایت­های فعلی که پلاگین روی آن فعال است،ادرسip سرور و… .

Susuri شرح می­دهد که تابعی هم در این پلاگین پیدا شده و به مهاجم اجازه میدهد تا اطلاعات خود را روی سایت بارگذاری نماید. خبر خوب این است که این پلاگین مخرب برای مخزن وردپرس ساخت نشده است. توصیه می­شود که برای استفاده از پلاگین ها از منابع مطمئن استفاده کنید.

مرجع: http://www.securityweek.com/backdoor-masquerades-popular-wordpress-plugin

بدافزار جاسازی شده در ابزار CCleaner میلیون ها نفر را در معرض خطر قرار می دهد

شرکت Avast در روز دوشنبه اعلام کرد که کد مخربی در دو نسخه از ابزارهای نگهداری CCleaner Piniform کشف کرده است. محصولات امنیتی شرکت Avast توسط بیش از 400 میلیون نفر استفاده می شود.

بدافزار CCleaner آلوده، می تواند هکرها را بر روی دستگاه های بیش از 2 میلیون کاربر مسلط کند. نرم افزار CCleaner برای خلاص شدن از پیام های موبایل ناخواسته، مانند برنامه های ناخواسته و کوکی های تبلیغاتی طراحی شده است.

Piniform می گوید دو نسخه از این برنامه به طور غیرقانونی قبل از انتشار آنها به صورت عمومی اصلاح شدند.

با این حال، Paul Yung، معاون رئيس Piniform توضیح داد که سرور هایی که هکرها برای کنترل این کد استفاده می کنند غیرفعال است و دیگر سرور ها در کنترل مهاجمین قرار نخواهد گرفت.

یونگ گفت: ” با استفاده از دانش به بهترین وجه، توانستیم تهدید را قبل از این که بتواند هرگونه آسیبی را ایجاد کند، خنثی کنیم.”

علی رغم این اطمینان از جانب Piniform، انجام اقدامات جدی تر نیز ضروری است. کریگ ویلیامز، رهبر فنی ارشد سیسکو پیشنهاد می کند از آنجا که این نرم افزار مخرب حتی پس از به روز رسانی نرم افزار CCleaner باقی می ماند، تمام کاربران محتوای رایانه ی خود را پاک کنند یعنی همه چیز را از روی دستگاه حذف کرده و دوباره نصب کنند و برای بازگرداندن فایل ها و داده ها از پشتیبان گیری قبل از تاریخ 15 اوت، 2017، قبل از اینکه نسخه فعلی نصب شود، استفاده کنند.

موری هابر، معاون رئیس فن آوری BeyondTrust، خاطرنشان کرد: فراتر از تهدید فوری، ممکن است مشکلات از دست رفتن داده ها وجود داشته باشد. او گفت: “در حالی که ارتقاء ممکن است این بدافزار را حذف کند ولی اطلاعات منتشره به طور بالقوه منتقل شده و می تواند در آینده به کار گرفته شود.”

هابر می گوید: کاربران باید تمامی رمزهای عبور مجاز را تغییر دهند تا ریسک های مربوط به هر گونه اعتبار منتشر شده کاهش یابد.

خوشبختانه، Piniform به این مشکل پیش از افزایش آن رسیدگی کرد. دیوید پیکت، تحلیلگر امنیتی AppRiver، خاطرنشان کرد: تهدید به سرعت توسط فروشنده نرم افزاری کاهش یافت. طبق گفته کریس رابرتز، معمار اصلی امنیت در Acalvio، این تهدید واقعی اما محدود بود.

نکته: زنجیره تامین آسیب پذیر است!

حملات زنجیره تامین (نظیر خرابکاری یا نفوذ در محصولات توسط هکرها قبل از رسیدن به مشتریان) به نظر می رسد در حال افزایش است. نیل وتزل، مدیر تحقیقات امنیتی Cygilant، گفت: ما اخیرا تعداد بیشتری از این نوع حملات را مشاهده می کنیم.

تغییر در بدافزارهای ATM: از حملات فیزیکی تا حملات مبتنی بر شبکه

در طول سال ها، سرقت از دستگاه های خودپرداز به طرق مختلفی انجام شده است: از انفجار گاوصندوق ها تا اتصال صفحه کلید جعلی برای نصب نرم افزارهای مخرب. در عمل استفاده از برنامه های مخرب برای حمله به ATM ها امری رایج در بین مجرمان سایبری است و یکی از دلایل آن، استفاده بسیاری از ATM از سیستم عامل های قدیمی است. این سیستم ها دیگر به روزرسانی نمی شوند و به این دلیل آسیب پذیری های آن ها رفع نمی گردند.

در بین مجرمان سایبری که از برنامه های مخرب برای حمله و سرقت پول استفاده می کنند، دسترسی فیزیکی به ATM رایج ترین روش حمله است. این مجرمان به تازگی روش جدیدی را برای حمله به ATMها یافته اند که از طریق شبکه بانکی است و قدم اول در این روش دسترسی به شبکه های بانکی از طریق مهندسی اجتماعی و کارمندان بانک هاست.

البته این حملات تحت شبکه نیاز به تلاش بیشتری نسبت به حملات فیزیکی دارد ولی برای سارق این امکان را فراهم می کند تا به سادگی و فقط نوشتن یک دستور به سرقت وجوه نقد بپردازد.

در تصویر زیر مراحل انجام حملات تحت شبکه به ATM ها را مشاهده می کنید:

منبع www.trendmicro.com

نرم افزار GO Keyboard اطلاعات کاربر را جمع آوری کرده و به سرور ارسال می کند

محققان حوزه ی امنیت به تازگی پی بردند که نرم افزار مشهور اندرویدی به نام GO Keyboard، اطلاعات کاربران را جمع آوری کرده و سپس به سمت سرور مرکزی خود ارسال می کند. همچنین این نرم افزار کدهایی را از سرور گرفته و روی تلفن همراه کاربر بدون کسب مجوز از او اجرا می کند.

این نرم افزار اطلاعات مهم و حیاتی کاربر را جمع آوری می کند. اطلاعاتی از قبیل: آدرس ایمیل، زبان و موقعیت، نوع شبکه، ابعاد تصویر، نسخه اندروید، شناسه ساخت و مدل دستگاه. کدهایی که روی دستگاه اجرا می کند نیز برنامه های تبلیغاتی یا نرم افزارهای ناخواسته هستند

منبع www.trendmicro.com