محققان امنیتی یک کمپین عظیم بدافزاری را کشف کردند که در حال حاضر بیش از ۲۵۰ میلیون کامپیوتر دارای سیستمعامل ویندوز و Mac را در سراسر جهان آلوده کرده است.
این بدافزار که Fireball نامیده شده است یک پکیج تبلیغاتی است که کنترل مرورگرهای قربانی را برعهدهگرفته و به مهاجمان اجازه میدهد تا بر روی ترافیک فرد قربانی نظارت داشته باشند و دادههای او را بدزدند.
محققان شرکت Check Point این بدافزار را کشف کردند[۱] که به یک شرکت چینی به نام Rafotech مرتبط است که ادعا میکند خدمات بازاریابی دیجیتال و بازیهای رایانهای را به ۳۰۰ میلیون نفر از مشتریانش ارائه میدهد.
ازآنجاکه این شرکت در حال حاضر برای درآمدزایی از این بدافزار از طریق تزریق تبلیغات به مرورگرها استفاده میکند، این بدافزار میتواند بهسرعت تبدیل به یک نابودگر بزرگ شود تا حوادث امنیت سایبری عظیمی را در سراسر جهان موجب شود.
Fireball به همراه دیگر برنامههای رایگان ارائه شده است که شما میتوانید از روی اینترنت آن را دانلود کنید. هنگامیکه بر روی سیستم شما نصب شود، این بدافزار یک افزونه به مرورگر شما اضافه میکند و تنظیمات مرورگر قربانیان را گول زده و موتورهای جستجوی پیشفرض و صفحات خانگی را با موتورهای جستجوی قلابی مثل trotux.com جابجا میکند.
محققان میگویند: “این مهم است که به خاطر داشته باشیم که وقتی یک کاربر یک نرمافزار رایگان را نصب میکند، بدافزار مربوطه لزوماً در همان زمان بر روی سیستمعامل موردنظر فعال نمیشود. علاوه بر این، این بسیار محتمل است که Rafotech از روشهای پخش شدن دیگر مانند پخش کردن نرمافزارها با نامهای جعلی یا استفاده از اسپمها نیز استفاده کند.”
موتور جستجوی قلابی بهسادگی درخواستهای قربانی را به Yahoo.com یا Google.com تغییر مسیر داده و این تغییر مسیر شامل پیکسلهای ردیابی برای جمعآوری دادههای قربانی است.
علاوه بر اهداف قانونی، Fireball این قابلیت را دارد که ترافیک فرد قربانی را شنود کند، کدهای مخرب را بر روی کامپیوترهای آلوده شده اجرا کند، افزونهها را نصب کند و حتی یک بدافزار کارآمد که میتواند رخنههای امنیتی بزرگ در سیستمهای مورد هدف و شبکهها ایجاد کند را راهاندازی کند.
محققان میگویند: “از دیدگاه فنی، Fireball نوعی روش گول زدن و فرار از روشهای شناساییشده را به نمایش میگذارد، که شامل قابلیتهای ضد تشخیص، ساختار چندلایه، و سرور C&C انعطافپذیر است.”
در حال حاضر، ابزارهای تبلیغاتی ترافیکِ وبِ کاربران را شنود کرده تا سرعت تبلیغ خود را افزایش داده و سود بیشتری به دست آورند اما در همین زمان، یک برنامه تبلیغاتی این قابلیت را دارد که یک بدافزار دیگر را منتشر کند.
محققان میگویند: “بر اساس نرخ آلودگی تخمین زده شده، در بعضی از سناریوها، از هر ۵ شرکت بزرگ در دنیا، یک شرکت نسبت به آلوده شدن توسط بدافزارها حساس هستند.”
بر طبق گفته محققان، بیش از ۲۵۰ میلیون کامپیوتر در سراسر جهان آلوده شدهاند که ۲۰ درصد از آنها مربوط به شبکه شرکتهاست:
- ۳ میلیون در هند (۱۰٫۱ درصد)
- ۱ میلیون در برزیل (۹٫۶ درصد)
- ۱ میلیون در مکزیک (۱۰٫۱ درصد)
- ۱ میلیون در اندونزی (۱۰٫۱ درصد)
- ۵ میلیون در آمریکا (۱۰٫۱ درصد)
بسیاری از مهاجمان دوست دارند که تنها بخشی از قدرت شرکت Rafotech را در اختیار داشته باشند.
علامتهای اخطاری که نشان میدهد کامپیوتر شما توسط Fireball آلوده شده است.
اگر جواب یکی از سؤالهای زیر خیر باشد، نشان میدهد که کامپیوتر شما توسط Fireball یا یک بدافزار تبلیغاتی مشابه آلوده شده است.
مرورگر خود را باز کنید و این موارد را بررسی کنید:
- آیا homepage خود را تنظیم کردهاید؟
- آیا شما میتوانید homepage مرورگر خود را تغییر دهید؟
- آیا شما با موتور جستجوی پیشفرض خود آشنایی دارید و میتوانید آن را تغییر دهید؟
- آیا شما تمام افزونههای نصبشده بر روی مرورگر خود را میشناسید؟
برای پاک کردن یک بدافزار تبلیغاتی، تنها کافی است که نرمافزار مربوطه را از روی کامپیوتر خود پاک کنید و یا اینکه از یک نرمافزار پاککننده بدافزار استفاده کنید. سپس تنظیمات مربوط به مرورگر خود را به تنظیمات پیشفرض آن تغییر دهید.
روش اصلی برای جلوگیری کردن از آلوده شدن توسط چنین بدافزارهایی، دقت ویژه در نصب کردن نرمافزارهای گوناگون بر روی سیستم است.
شما همیشه باید در هنگام نصب یک نرمافزار توجه داشته باشید و به مواردی که توسط یک نرمافزار میخواهند بر روی سیستم شما نصب شود، دقت کنید. شما باید گزینه custom installation را در هنگام نصب یک نرمافزار انتخاب کنید و سپس هر موردی را که در هنگام نصب یک نرمافزار برای شما ضروری نیست و یا ناشناخته شده است، غیرفعال کنید.
منابع
[۱] http://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection
[۲] http://thehackernews.com/2017/06/fireball-computer-virus.html
ثبت ديدگاه