مراقب باشید: پخش‌کردن بدافزار اندروید و ویندوز توسط سایت‌های آنتی‌ویروس جعلی

عوامل تهدید مشاهده شده‌اند که از وب‌سایت‌های جعلی که به‌عنوان راه‌حل‌های آنتی‌ویروس قانونی Avast، Bitdefender و Malwarebytes برای انتشار بدافزار که قادر به سرقت اطلاعات حساس از دستگاه‌های Android و Windows هستند، استفاده می‌کنند.

Gurumoorthi Ramanathan، محقق امنیتی Trellix، گفت[۱]: میزبانی نرم‌افزارهای مخرب از طریق سایت‌هایی که مشروع به نظر می‌رسند برای مصرف‌کنندگان عمومی، به‌ویژه کسانی که به دنبال محافظت از دستگاه‌های خود در برابر حملات سایبری هستند، غارتگر است.

لیست این وب‌سایت‌ها در زیر آمده است:

avast-securedownload[.]com که برای ارائه تروجان [۲]SpyNote در قالب یک فایل بسته اندروید (“apk”) استفاده می‌شود که پس از نصب، مجوزهای نفوذی برای خواندن پیام‌های SMS و گزارش تماس‌ها، نصب و حذف برنامه‌ها، اسکرین‌شات گرفتن، ردیابی موقعیت مکانی و حتی استخراج ارز دیجیتال دریافت می‌کند.
bitdefender-app[.]com که برای ارائه یک فایل آرشیو ZIP (“setup-win-x86-x64.exe.zip”) استفاده می‌شود که بدافزار سرقت اطلاعات Lumma[3] را مستقر می‌کند.
malwarebytes[.]pro که برای ارائه یک فایل آرشیو RAR (“MBSetup.rar”) استفاده می‌شود که بدافزار دزد اطلاعات StealC[4] را مستقر می‌کند.

این شرکت امنیت سایبری گفت که همچنین یک باینری سرکش Trellix به نام “AMCoreDat.exe” را کشف کرده است که به‌عنوان مجرای برای رهاکردن بدافزار دزدی که قادر به جمع‌آوری اطلاعات قربانیان، از جمله داده‌های مرورگر، و استخراج آن به یک سرور راه دور است، عمل می‌کند.

در حال حاضر مشخص نیست که این وب‌سایت‌های جعلی چگونه توزیع می‌شوند، اما کمپین‌های مشابه در گذشته از تکنیک‌هایی مانند تبلیغات نامناسب[۵] و بهینه‌سازی موتور جستجو (SEO)[6] استفاده می‌کردند.

بدافزارهای دزد به طور فزاینده‌ای به یک تهدید رایج تبدیل شده‌اند، زیرا مجرمان سایبری انواع سفارشی متعددی را با سطوح مختلف پیچیدگی تبلیغ می‌کنند. این شامل دزدهای جدید مانند [۷]Acrid، [۸]SamsStealer، ScarletStealer[9] و Waltuhium Grabber[10] و همچنین به‌روزرسانی‌های موجود مانند [۱۱]SYS01stealer (معروف به Album Stealer یا [۱۲]S1deload Stealer) می‌شود.

کسپرسکی در گزارش اخیر خود گفت: “این واقعیت که هر از چند گاهی دزدان جدید ظاهر می‌شوند، همراه با این واقعیت که عملکرد و پیچیدگی آنها بسیار متفاوت است، نشان می‌دهد که بازار جنایی تقاضا برای دزدان وجود دارد.”

در اوایل این هفته، این شرکت امنیت سایبری روسی همچنین یک کمپین بدافزار Gipy را شرح داد[۱۳] که از محبوبیت ابزارهای هوش مصنوعی (AI) با تبلیغ یک تولیدکننده صدای AI جعلی از طریق وب‌سایت‌های فیشینگ بهره می‌برد.

پس از نصب، Gipy بدافزار شخص ثالث میزبانی شده در GitHub را بارگیری می‌کند، از دزدان اطلاعات (Lumma، RedLine، RisePro و LOLI Stealer) و استخراج‌کننده‌های ارزهای دیجیتال (Apocalypse ClipBanker) تا تروجان‌های دسترسی از راه دور (DCRat و RADXRat) و درب‌های پشتی (TrueClient).

این توسعه زمانی صورت می‌گیرد که محققان یک تروجان بانکی اندروید جدید به نام Antidot را کشف کرده‌اند که خود را به‌عنوان یک به‌روزرسانی Google Play پنهان می‌کند تا با سوءاستفاده از دسترسی اندروید و APIهای [۱۴]MediaProjection، سرقت اطلاعات را تسهیل کند.

سیمانتک متعلق به Broadcom در بولتنی گفت[۱۵]: «از نظر عملکرد، Antidot قادر به ثبت کلید، حملات همپوشانی، حذف پیامک، ضبط صفحه، سرقت اطلاعات اعتباری، کنترل دستگاه و اجرای دستورات دریافتی از مهاجمان است».

منابع

[۱] https://www.trellix.com/blogs/research/a-catalog-of-hazardous-av-sites-a-tale-of-malware-hosting

[۲] https://thehackernews.com/2023/10/spynote-beware-of-this-android-trojan.html

[۳] https://thehackernews.com/2023/11/lummac2-malware-deploys-new.html

[۴] https://thehackernews.com/2023/02/researchers-discover-dozens-samples-of.html

[۵] https://thehackernews.com/2024/04/malicious-google-ads-pushing-fake-ip.html

[۶] https://www.sentinelone.com/blog/breaking-down-the-seo-poisoning-attack-how-attackers-are-hijacking-search-results

[۷] https://securelist.com/crimeware-report-stealers/112633

[۸] https://www.broadcom.com/support/security-center/protection-bulletin/samsstealer-malware

[۹] https://securelist.com/crimeware-report-stealers/112633

[۱۰] https://www.broadcom.com/support/security-center/protection-bulletin/waltuhium-grabber

[۱۱] https://thehackernews.com/2023/03/sys01stealer-new-threat-using-facebook.html