کشف یک بدافزار با ۲۰ ماژول اختصاصی برای سرقت کیف پولهای ارز دیجیتال
کارشناسان شرکت امنیتی کسپرسکی (Kaspersky) در گزارشی از شناسایی بدافزار جدیدی به نام OkoBot خبر دادند که با استفاده از ۲۰ ماژول مجزا، به شکلی گسترده اقدام به سرقت عبارات بازیابی کیف پولهای ارز دیجیتال میکند. این عملیات مخرب که بیش از یک سال است به صورت فعال ادامه دارد، کاربران کشورهای مختلف از جمله برزیل، ویتنام، کانادا، مکزیک و ترکیه را هدف قرار داده است.
طبق این گزارش، اپراتورهای این بدافزار با مسدود کردن آدرسهای IP روسیه و کشورهای مشترکالمنافع، فعالیت خود را در سایر نقاط جهان متمرکز کردهاند. این بدافزار از طریق مخازن گیتهاب (GitHub) و در قالب نرمافزارهای قانونی مانند مدیریت پایگاهداده مایکروسافت توزیع میشود.
مهاجمان با بهرهگیری از تکنیک مهندسی اجتماعی موسوم به ClickFix، پیامهای خطای جعلی یا دستورالعملهای تعمیر سیستم را به کاربر نمایش میدهند. زمانی که قربانی طبق راهنما، کدی را در سیستم خود اجرا میکند، بدون آنکه متوجه شود، مسیر نصب کامل بدافزار بر روی دستگاه خود را هموار میسازد.
ابزارهای پیشرفته برای سرقت داراییهای دیجیتال
یکی از خطرناکترین بخشهای این بدافزار، ماژول SeedHunter است که رابطهای کاربری جعلی مشابه کیف پولهای سختافزاری لجر و ترزور را نمایش میدهد. به محض اینکه کاربران عبارات بازیابی خود را در این صفحات وارد کنند، اطلاعات مستقیماً برای هکرها ارسال میشود.
علاوه بر این، ماژولهای دیگری نظیر MC Keylogger برای ثبت کلیدهای فشرده شده کیبورد و OkoSpyware برای ضبط ویدیو از پنجرههای باز سیستم، شانس دسترسی به رمزهای عبور و آدرسهای کپی شده در کلیپبورد را افزایش میدهند.
شباهتهای ساختاری با حملات گروه لازاروس
محققان اشاره کردهاند که تکنیک ClickFix پیش از این توسط گروههای هکری تحت حمایت دولتها، مانند گروه لازاروس کره شمالی نیز استفاده شده است. این روش به جای تکیه بر دانلود فایلهای مخرب، کاربر را متقاعد میکند تا دستورات سیستمی خطرناک را شخصاً اجرا کند.
به دلیل غیرقابل بازگشت بودن تراکنشهای بلاک چین، کسپرسکی هشدار داده است که در صورت نشت عبارات بازیابی، شانس بازگرداندن داراییهای سرقت شده تقریباً صفر است و کاربران باید در اجرای کدهای ناشناس در ترمینال سیستم خود بسیار محتاط باشند.
لطفا در صورت مشاهده دیدگاههای حاوی توهین و فحاشی یا خلاف عرف جامعه با گزارش سریع آنها، به ما در حفظ سلامت بستر ارتباطی کاربران کمک کنید.