شنیدهها حاکی از این است که یک نرم افزار جاسوسی خطرناک در قالب یک فیلترشکن امن و معروف کاربران را مورد هدف قرار داده است؛ آیا ما در خطر هستیم؟
بدافزارها میتوانند به قدری مخرب باشند که تمامی اطلاعات هویتی کاربران را دزدیده و هزاران بلای دیگر سر آنها بیاورند. اغلب اوقات بدافزارها در شکل و شمایل یک اپلیکیشن پرکاربرد یا برنامهای مهم تعبیه میشوند و از این طریق کاربران را به دام میاندازند. به تازگی یکی از خطرناک ترین بدافزارهای جاسوسی توسط محققان شناسایی شده است.
ماجرای نرم افزار جاسوسی خطرناک چیست؟
محققان موسسه امنیتی کسپرسکی موفق شدهاند بدافزاری را شناسایی کنند که در نسخه جعلی مرورگر تور قرار گرفته است. جالب اینجاست که بدافزار مذکور به گونهای در مرورگر تور تعبیه شده که در حال حاضر فقط کاربران چینی را مورد هدف قرار میدهد. به طور کلی این بدافزار و افرادی که پشت آن قرار دارند، تلاش میکنند از راههای مختلفی نظیر ویدیوهای یوتیوب به افراد ناآگاه توصیههایی در خصوص ناشناس ماندن کنند و از این طریق آنها را به دام اندازند.
همچنین به گفته محققان کسپرسکی، وقتی در یوتیوب واژه چینی Tor را جستجو کنید، ویدیوی کمپین OnionPoison بالاتر از همه به نمایش در خواهد آمد. اما سوال اینجاست که این کمپین بدافزاری چگونه و با چه هدفی کار میکند؟
کاربران هنگامی که در یوتیوب روی لینک این ویدیو کلیک میکنند، در قسمت توضیحات با URL سایت تور روبهرو میشوند و وقتی روی آن کلیک میکنند به صفحه آن منتقل میشوند؛ گفتنی است این سایت در چین مسدود شده است. از طرف دیگر یک لینک مجزا در قسمت توضیحات وجود دارد که به محض کلیک روی آن کاربران به یک سرویس اشتراکگذاری ابری منتقل میشوند و میتوانند بسته نصبی فایل تور را دانلود کنند.
فایلی که در بالا راجع به آن صحبت کردیم دارای کدهای مخرب است و بعد از انجام عملیات نصب یک نسخه از مرورگر تور روی دستگاه کاربر ظاهر خواهد شد. متاسفانه مشکل این مرورگر آنجاست که بعد از استفاده کاربران، تمامی اطلاعات جستجو شده و دادههای وارده را ذخیره میکند. البته نسخه اصلی مرورگر تور این اطلاعات را نگه نمیدارد.
علاوه بر نصب این بدافزار روی دستگاه کاربر هدف، یک نسخه خرابکارانه دیگر توسط مرورگر مذکور و از راه دور آپلود خواهد شد. به گفته محققان این بدافزار ثانویه تنها روی دستگاههایی نصب میشود که آدرس IP آنها در کشور چین است. از جمله اطلاعاتی که بدافزار دوم از روی دستگاه قربانی بر میدارد میتوان به GUID رایانه، نام سیستم، نام کاربری فعلی و آدرس MAC اشاره کرد.
طبق آنچه گروهی از پژوهشگران کسپرسکی اعلام کردهاند، تمام اطلاعات کاربران از طریق یک سرور از راه دور ارسال میشود. سروری که از آن صحبت میکنیم قادر است اطلاعات مرتبط با برنامههای نصب شده سیستم، تاریخچه مرورگر و آیدی اکانتهای کاربری وی چت و کیوکیو فرد را در اختیار خود بگیرد.
کمپین OnionPoison دقیقا چیست؟
شاید برایتان جالب باشد اگر بدانید که هدف بدافزارهای مذکور، سرقت و دزدی اطلاعات کاربران نیست؛ بلکه آنها میخواهند دقیقا کاربران را شناسایی کنند. به اعتقاد محققان کسپرسکی، گروه بدافزاری OnionPoison موارد معمولی نظیر کوکیها، رمز عبور کاربران و کیف پولها را نمیخواهند.
این کمپین بدافزاری به دنبال دادههایی نظیر تاریخچه مرور، آیدی اکانتهای شبکه های اجتماعی و جزئیات شبکه وای فای است. این برنامه به طور خاص سعی دارد کاربران چینی را مورد هدف قرار دهد. آنها قصد دارند نحوه کار با اینترنت کاربران چینی و پروفایلی جامع از آنها را در اختیار داشته باشند.
متاسفانه تا بدین لحظه قربانیان خیال میکردهاند در حال استفاده از یک مرورگر ایمن هستند. در صورتی که قصد دارید به دام چنین کمپینهای بدافزاری نیفتید، بهتر است برنامهها را از منابع رسمی و معتبر دانلود کنید. همانطور که میدانیم دولت چین فیلترینگ شدیدی برای وب سایتهای کشورهای دیگر دارد و سیستم اینترنت داخلی خودش را راهاندازی کرده است.
به هر حال مهم است که تمامی کاربران برای دانلود اپلیکیشنها و برنامههای ناشناس از گوگل پلی یا اپ استور اقدام کنند و از منابع ناشناس به هیچ وجه برنامهای دریافت نکنند.