کاشاسکی: تله مخرب SourceForge برای دزدیدن رمزارز کاربران

کاشاسکی: نرم‌افزار مخرب در SourceForge تله کاربران برای ارسال رمزارز

شرکت امنیت سایبری کاشاسکی نرم‌افزاری مخرب را کشف کرده است که قربانیان را فریب می‌دهد تا رمزارز خود را در اختیار حمله‌کنندگان قرار دهند. این نرم‌افزار مخرب از طریق تغییر آدرس‌های کیف پول مورد اعتماد در حافظه موقت کلیپ (clipboard) عمل می‌کند.

این نرم‌افزار به گونه‌ای در قالب افزونه‌های Microsoft Office در وبسایت SourceForge منتشر می‌شود. در واقع، لینک‌های جایگزینی برای نصب این نرم‌افزار مخرب به کار می‌روند تا کیف پول‌های رمزارز قربانیان را مورد نفوذ قرار دهند. کد نویسی این نرم‌افزار به نظر می‌رسد به زبان روسی صورت گرفته باشد و انتظار می‌رود که حدود 90٪ از قربانیان احتمالی در روسیه باشند، طبق گفته پژوهشگران کاشاسکی در پست بلاگ SecureList.

با این حال، لینک دانلود به وبسایتی به زبان انگلیسی هدایت می‌شود که نشان می‌دهد این تهدید می‌تواند فراتر از مرزهای روسیه گسترش یابد. پس از نصب، نرم‌افزار مخرب ClipBanker را بر روی دستگاه قرار می‌دهد. ClipBanker آدرسی‌های مربوط به رمزارزهای موجود در کلیپ‌بورد را با آدرس‌های حمله‌کننده جایگزین می‌کند. از آنجایی که اکثر کاربران کیف پول‌های رمزارز به جای تایپ دستی، آدرس‌ها را کپی و جای‌گذاری می‌کنند، این تعویض معمولاً تا زمانی که پول قربانی به مقصد ناخواسته ارسال شود، شناسایی نمی‌شود.

کاشاسکی هشدار می‌دهد که این نرم‌افزار می‌تواند آسیب‌های بیشتری نیز وارد کند. پژوهشگران می‌نویسند: «روش‌های پایداری که استفاده می‌شود نیز شایان توجه است؛ حمله‌کنندگان از طریق روش‌های متعدد و غیرمرسوم به سیستم آلوده دسترسی می‌یابند. در حالی که این حمله عمدتاً با استفاده از یک ماینر و ClipBanker به رمزارزها هدف می‌زند، حمله‌کنندگان می‌توانند دسترسی به سیستم‌های آلوده را به بازیگران خطرناک‌تری بفروشند.»

قابل ذکر است که SourceForge یک وبسایت معتبر برای میزبانی دانلود نرم‌افزار است و این بهره‌برداری بر مبنای هدایت کاربران به لینک دانلود دیگری است که امن محسوب نمی‌شود. لینکی که به نظر معتبر می‌آید، کاربر را به صفحه‌ای هدایت می‌کند که در آن تشویق به دانلود نرم‌افزار آلوده می‌شود. این دانلود به ظاهر شامل یک نصب‌کننده 700 مگابایتی معتبر است اما در عین حال بیشترین قسمت آن فایل‌های اضافی و بی‌فایده هستند؛ در حالی که خود نرم‌افزار مخرب تنها 7 مگابایت حجم دارد.

بر اساس گزارش، حدود ۴۶۰۴ کاربر روسی فقط در بازه زمانی اوایل ژانویه تا اواخر مارس با این طرح مواجه شده‌اند. کاشاسکی هشدار می‌دهد: «به کاربران توصیه می‌کنیم از دانلود نرم‌افزار از منابع نامعتبر خودداری کنند. اگر به هر دلیلی نمی‌توانید نرم‌افزاری را از منابع رسمی دریافت کنید، به خاطر داشته باشید که جستجوی گزینه‌های دانلود جایگزین همیشه با ریسک‌های امنیتی بیشتری همراه است.»

ویرایش: استیسی الیوت