هشدار: افزونه‌های Office جعلی آدرس کیف پول شما را تغییر می‌دهند

هکرها نرم‌افزار مخرب تغییر آدرس‌های رمزارزی را در بسته‌های افزودنی Microsoft Office پنهان می‌کنند

به گزارش شرکت امنیت سایبری کاسپرسکی، مجرمان سایبری در تلاشند تا با استفاده از نرم‌افزاری که در افزونه‌های جعلی Microsoft Office جاسازی شده و در وب‌سایت میزبانی نرم‌افزار SourceForge بارگذاری شده است، رمزارزها را سرقت کنند. یکی از لیست‌های مخرب با نام «officepackage» افزونه‌های واقعی Microsoft Office را دارا می‌باشد، اما نرم‌افزاری مخرب به نام ClipBanker را پنهان می‌کند که آدرس کیف پول رمزارزی کپی‌شده بر روی کلیپ‌بورد کامپیوتر را با آدرس مهاجم جایگزین می‌کند، به گفته تیم تحقیقاتی ضد نرم‌افزارهای مخرب کاسپرسکی در گزارشی مورخ ۸ آوریل. تیم توضیح داده است: «کاربران کیف پول‌های رمزارزی معمولاً آدرس‌ها را کپی می‌کنند به جای اینکه تایپ کنند. در صورت آلوده شدن دستگاه به ClipBanker، پول قربانی به مقصدی کاملاً غیرمنتظره منتقل خواهد شد.»

صفحه پروژه جعلی در SourceForge صفحه‌ای را شبیه‌سازی می‌کند که ابزار توسعه‌دهنده‌ای قانونی را نمایش می‌دهد؛ افزونه‌های Office و دکمه‌های دانلود را نشان می‌دهد و می‌تواند در نتایج جستجو نیز ظاهر شود.

کاسپرسکی اعلام کرده است که یکی دیگر از ویژگی‌های زنجیره آلوده‌سازی این نرم‌افزار مخرب، ارسال اطلاعات دستگاه آلوده مانند آدرس‌های آی‌پی، کشور و نام‌های کاربری به هکرها از طریق تلگرام می‌باشد. نرم‌افزار مخرب همچنین می‌تواند سیستم آلوده را برای شواهدی از نصب قبلی یا وجود نرم‌افزارهای ضدویروس اسکن کرده و در صورت شناسایی، خود را حذف کند. کاسپرسکی اشاره می‌کند که برخی از فایل‌های دانلود جعلی بسیار کوچک هستند که این امر «علامت‌های قرمز» ایجاد می‌کند، چرا که برنامه‌های Office حتی در حالت فشرده‌شده نیز اینقدر کوچک نیستند.

فایل‌های دیگر با داده‌های بی‌محتوا پر شده‌اند تا کاربران باور کنند که در حال مشاهده یک نصب‌کننده نرم‌افزار واقعی هستند. شرکت اعلام کرده است که مهاجمین از «روش‌های متعدد، از جمله روش‌های نامتعارف» برای دستیابی به سیستم آلوده استفاده می‌کنند. علاوه بر این، در حالی که حمله به‌طور عمده رمزارزها را با استفاده از استخراج‌کننده و ClipBanker هدف قرار می‌دهد، مهاجمین امکان فروش دسترسی به سیستم را به افراد خطرناک‌تر نیز دارند.

رابط کاربری این نرم‌افزار به زبان روسی است، که کاسپرسکی حدس می‌زند به معنای هدف قرار گرفتن کاربران روس‌زبان باشد. گزارش کاسپرسکی بیان کرده است: «تلئمتری ما نشان می‌دهد ۹۰٪ از قربانیان احتمالی در روسیه قرار دارند، جایی که ۴۶۰۴ کاربر بین اوایل ژانویه تا اواخر مارس با این طرح روبرو شدند.»

برای جلوگیری از قربانی شدن، کاسپرسکی توصیه می‌کند که نرم‌افزارها تنها از منابع معتبر دانلود شوند، چرا که برنامه‌های دزدی و گزینه‌های دانلود جایگزین ریسک‌های بیشتری به همراه دارند. او افزود: «توزیع نرم‌افزارهای مخرب به‌صورت نرم‌افزارهای دزدی چیزی نو نیست. با جستجوی راه‌هایی برای دانلود برنامه‌ها خارج از منابع رسمی، مهاجمین نیز گزینه‌های خود را ارائه می‌دهند و به دنبال راه‌های جدیدی هستند تا وب‌سایت‌های خود را معتبر نشان دهند.»

شرکت‌های دیگری نیز نسبت به اشکال جدید نرم‌افزارهای مخرب که کاربران رمزارزی را هدف قرار می‌دهند هشدار داده‌اند. Threat Fabric در گزارشی مورخ ۲۸ مارس اعلام کرد که خانواده جدیدی از نرم‌افزارهای مخرب را شناسایی کرده است که قادر است یک صفحه پوششی جعلی ایجاد کند تا کاربران اندروید را فریب داده و عبارات بذر رمزارز خود را در هنگام تصاحب دستگاه وارد کنند.