PLAYFULGHOST بدافزار جدیدی است که از طریق برنامه های VPN آلوده به دستگاه شما نفوذ می کند و اطلاعات شما را به سرقت می برد! با رعایت نکات امنیتی ساده مانند عدم کلیک روی پیوندهای ناشناس و استفاده از آنتی ویروس، می توانید از خود در برابر این تهدید محافظت کنید.
به گزارش زوم تک از تامز گاید، محققان امنیت سایبری بدافزار جدیدی را شناسایی کرده اند که قادر به انجام تکنیک های مختلف جمع آوری اطلاعات مانند ضبط صفحه نمایش، ضبط صدا، دسترسی از راه دور (که به عامل تهدید اجازه می دهد حملات بیشتری را انجام دهد)، ثبت کلیدهای فشرده شده و انتقال و اجرای فایل است. این بدافزار با نام PLAYFULGHOST شناخته می شود و از طریق تکنیک های فیشینگ یا مسمومیت سئو منتشر می شود که سپس برنامه های VPN آلوده را توزیع می کنند.
قابلیت های مخرب PLAYFULGHOST
این بدافزار قادر است به چهار روش مختلف (کلید رجیستری، وظیفه زمان بندی شده، پوشه راه اندازی ویندوز و سرویس ویندوز) در سیستم میزبان ماندگار شود و مجموعه ای از داده ها را جمع آوری کند. این داده ها شامل کلیدهای فشرده شده و تصاویر صفحه نمایش هستند. همچنین می تواند اطلاعات صوتی، اطلاعات حساب QQ، محصولات امنیتی نصب شده، محتوای کلیپ بورد و فراداده های سیستم را جمع آوری کند.
این بدافزار همچنین قادر به رها کردن محموله های بیشتر، مسدود کردن ورودی ماوس یا صفحه کلید، پاک کردن گزارش های رویداد ویندوز، پاک کردن داده های کلیپ بورد، انجام عملیات فایل، حذف حافظه پنهان، حذف پروفایل های مرورگر وب و پاک کردن پروفایل ها و فضای ذخیره سازی برنامه های پیام رسان است.
علاوه بر این، می تواند Mimikatz (یک برنامه منبع باز که می تواند رمزهای عبور را استخراج کند)، یک روت کیت (که قادر به پنهان کردن رجیستری، فایل ها و فرآیندهای مشخص شده توسط عامل تهدید است) و یک ابزار منبع باز به نام Terminator (که می تواند فرآیندهای امنیتی را با استفاده از حمله BYOVD از بین ببرد) را مستقر کند.
PLAYFULGHOST چگونه به سیستم شما نفوذ می کند؟
این بدافزار معمولا از طریق ایمیل های فیشینگ که حاوی طعمه هایی مانند نقض قوانین یا مشکلات هستند، به سیستم شما دسترسی پیدا می کند. همچنین از تکنیک های مسمومیت سئو برای ارسال نسخه مخرب برنامه های VPN قانونی مانند LetsVPN استفاده می کند.
به عنوان مثال، یکی از قربانیان با باز کردن یک فایل RAR مخرب که با استفاده از پسوند .jpg به عنوان فایل تصویری پنهان شده بود، فریب خورد. این فایل، یک فایل اجرایی مخرب ویندوز را رها کرد که به نوبه خود PLAYFULGHOST را از یک سرور راه دور دانلود و اجرا کرد. تیم دفاع مدیریت شده گوگل اعلام کرده است که این درب پشتی، عملکردهایی مشابه با Gh0st RAT دارد که کد منبع آن در سال 2008 به صورت عمومی منتشر شد.
حملات مسمومیت سئو نیز تلاش می کنند تا قربانیان را فریب دهند تا بدافزار همراه با نصب کننده های LetsVPN را دانلود کنند که سپس یک محموله موقت را رها می کند که اجزای درب پشتی را بازیابی می کند.
چگونه از خود در برابر PLAYFULGHOST محافظت کنیم؟
از آنجایی که PLAYFULGHOST از فیشینگ به عنوان یک تکنیک استفاده می کند، بهترین راه برای جلوگیری از آن، آشنایی با تکنیک های رایج فیشینگ و تشخیص آنها است. فقط اطلاعات شخصی خود را به وب سایت ها و شرکت های قانونی ارائه دهید. هرگز روی پیوندها یا فایل های پیوست غیرمنتظره کلیک نکنید – اگر فرستنده را می شناسید، قبل از کلیک کردن، مستقیما با آنها تماس بگیرید تا ببینید چه چیزی و چرا برای شما ارسال کرده اند.
اگر انتظار نقض قوانین را ندارید، روی پیوند موجود در ایمیل کلیک نکنید. ابتدا با فرستنده یا بخش منابع انسانی خود تماس بگیرید تا در مورد ایمیل سؤال کنید. فقط برنامه ها را مستقیما از وب سایتی که خودتان به آن مراجعه کرده اید دانلود کنید، نه از پیوندی که برای شما ارسال شده است.
اگر شرکت شما در مورد موضوع فوری مربوط به حساب شما با شما تماس گرفت، روی هیچ چیزی در ایمیل، پیامک یا پیام کلیک نکنید. در عوض، مستقیما به وب سایت آنها در نوار آدرس مرورگر بروید و آدرس وب آنها را به صورت دستی تایپ کنید و اطلاعات ورود خود را خودتان وارد کنید. به این ترتیب، می توانید مطمئن شوید که نام شرکت را به درستی نوشته اید. (یک تکنیک رایج فیشینگ، نوشتن نادرست نام شرکت با “0” به جای “o” است.)
بهترین شیوه ها را با حساب های آنلاین خود حفظ کنید: هرگز رمزهای عبور را دوباره استفاده نکنید، به یاد داشته باشید که همیشه می توانید از یک مدیر رمز عبور برای ایمن نگه داشتن رمزهای عبور خود استفاده کنید. در صورت امکان از احراز هویت دو عاملی استفاده کنید. یکی از بهترین برنامه های آنتی ویروس را روی همه دستگاه های خود – هم رایانه شخصی و هم دستگاه تلفن همراه خود – نصب و به روز نگه دارید.
برای محافظت بیشتر، مطمئن شوید که برنامه آنتی ویروس شما دارای یک VPN واقعی است یا یک مرورگر سخت شده را برای لایه امنیتی اضافی ارائه می دهد.
نظرات در مورد : بدافزار جدید با نفوذ به برنامه های VPN، دستگاه شما را تسخیر می کند! زوم تک راه های مقابله را به شما می آموزد!